هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

التصيد ضد مايكروسوفت 365 يكشف 3 حملات Evilginx

ملخص للمقال
  • التصيد ضد مايكروسوفت 365 انكشف بعد خطأ إعداد خادم عام مكشوف على منفذ مفتوح، كشف ثلاث حملات Evilginx نشطة وبنية الهجوم كاملة.
  • الخادم المسرّب احتوى إعدادات صفحات التصيد لحسابات Microsoft 365، سجلات كلمات المرور المسروقة، أرشيفات نسخ احتياطية، وملفات جلسات وتطبيقات مراسلة.
  • حملات Evilginx استخدمت هجمات الرجل في المنتصف لاعتراض تسجيل دخول مايكروسوفت 365، وسرقة كلمات المرور ورموز الجلسة الحية لتجاوز المصادقة متعددة العوامل MFA.
  • التفاصيل التقنية تشير إلى أن إحدى حملات التصيد ضد مايكروسوفت 365 ظلت نشطة لأكثر من عام، مع تركيز مباشر على صناديق البريد المؤسسية الحساسة.
  • التأثير على المستخدمين والشركات كبير، لأن اختراق حسابات Microsoft 365 يتيح الاحتيال الداخلي، سرقة المراسلات، وانتحال الموظفين مقارنة بهجمات تصيد تقليدية أقل تعقيداً.
  • التوقعات المستقبلية تشير إلى تصاعد التصيد ضد مايكروسوفت 365 باستخدام Evilginx المعدل، ما يفرض تعزيز الحماية الجلسية، مراقبة الخوادم، وتقييد الوصول المشبوه.
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
التصيد ضد مايكروسوفت 365 يكشف 3 حملات Evilginx
محتوى المقال
جاري التحميل...
خادم مكشوف

كشف خطأ في إعداد خادم عام عن التصيد ضد مايكروسوفت 365 عبر 3 حملات نشطة، مع أدوات سرقة بيانات وتجاوز للمصادقة متعددة العوامل.

كيف كُشفت حملات التصيد ضد مايكروسوفت 365؟

بدأت القصة عندما ترك أحد المهاجمين خادماً يعمل على منفذ عام مع تفعيل عرض الملفات، إضافة إلى وجود سجل أوامر shell يمكن قراءته. هذا الخطأ البسيط فتح نافذة مباشرة على بنية الهجوم كاملة.

الملفات المكشوفة لم تكن عادية، بل شملت إعدادات صفحات التصيد، وسجلات جمع كلمات المرور، وأرشيفات نسخ احتياطية، وحتى ملفات جلسات مرتبطة بتطبيقات مراسلة. وبهذا أصبح من الممكن تتبع أكثر من مشغل وراء النشاط نفسه.

ما الذي وُجد داخل الخادم؟

  • إعدادات تصيد موجهة لحسابات Microsoft 365
  • سجلات لبيانات اعتماد مسروقة
  • أدوات إدارة وتحكم عن بُعد
  • قوائم بريدية وحسابات جاهزة للاستهداف
  • نسخ احتياطية وملفات تشغيل خاصة بالمهاجم

لماذا يُعد Evilginx خطيراً على الشركات؟

الأداة المستخدمة في الحملات كانت نسخاً معدلة من Evilginx، وهو إطار معروف بهجمات الرجل في المنتصف لاعتراض جلسات تسجيل الدخول. خطورته أنه لا يكتفي بسرقة كلمة المرور، بل يمكنه أيضاً التقاط رموز الجلسة بعد المصادقة.

أخطر ما في القضية أن إحدى الحملات بدت نشطة لأكثر من عام، مع تركيز واضح على صناديق البريد المؤسسية. وهذا يعني أن الهدف لم يكن مستخدمين عاديين، بل حسابات أعمال يمكن استغلالها في الاحتيال الداخلي وسرقة المراسلات.

  • اعتراض جلسة تسجيل الدخول الحية
  • الاستفادة من تدفقات تسجيل دخول مشروعة في مايكروسوفت
  • تجديد الرموز المسروقة عند انتهاء صلاحيتها

كيف تم تجاوز MFA في هذه الهجمات؟

بحسب ما رصده تيكبامين، اعتمدت الحملات على أسلوبين مختلفين لتجاوز MFA. الأول يقوم على تمرير صفحة تسجيل الدخول الحقيقية عبر وكيل خبيث، بينما يستغل الثاني مسار تسجيل دخول مشروع للحصول على جلسة صالحة.

هذا الفارق مهم جداً لفرق الأمن، لأن وسائل الدفاع ليست واحدة. بعض الضوابط يجب أن تركز على مقاومة هجمات AiTM، بينما تحتاج حالات أخرى إلى سياسات جلسات أكثر صرامة ومراقبة غير اعتيادية لعمليات الدخول.

أفضل إجراءات الحماية للشركات

  • تفعيل مفاتيح أمان مقاومة للتصيد مثل FIDO2
  • مراجعة الجلسات النشطة وإنهاء الجلسات المشبوهة فوراً
  • منع أدوات الوصول عن بُعد غير المصرح بها
  • مراقبة النطاقات الفرعية والشهادات الجديدة المرتبطة بالعلامة
  • توعية الموظفين برسائل البريد المزيفة وروابط تسجيل الدخول

من أين جاءت الأدوات وما دلالة ذلك؟

اللافت أن المشغل الأساسي لم يطوّر المنصة من الصفر، بل اعتمد على مستودعات عامة وعدّلها لتناسب عملياته. كما أظهرت الأدلة وجود أكثر من نسخة من Evilginx مأخوذة من مطورين آخرين، ما يشير إلى شبكة نشاط أوسع من مجرد حملة منفردة.

بعض التعديلات شملت تغيير خصائص في صفحات HTML لتفادي آليات التحقق، وإضافة محرك لإعادة كتابة الروابط بهدف تقليل فرص الاكتشاف. كما جرى تبسيط تجربة الضحية عبر تعبئة البريد الإلكتروني مسبقاً لرفع معدل النجاح.

أدوات Evilginx

الخلاصة أن التصيد ضد مايكروسوفت 365 لم يعد يعتمد على صفحات مزيفة بدائية، بل على منصات مرنة تتطور بسرعة وتستفيد من أخطاء تشغيلية صغيرة. لذلك يرى تيكبامين أن الجمع بين مفاتيح الأمان، ورصد الجلسات، ومراجعة البنية المكشوفة على الإنترنت هو خط الدفاع الأهم أمام هذا النوع من الهجمات.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة

الكلمات المفتاحية:

#مايكروسوفت #التصيد الاحتيالي

مقالات مقترحة

محتوى المقال
جاري التحميل...