كشف خطأ في إعداد خادم عام عن التصيد ضد مايكروسوفت 365 عبر 3 حملات نشطة، مع أدوات سرقة بيانات وتجاوز للمصادقة متعددة العوامل.
كيف كُشفت حملات التصيد ضد مايكروسوفت 365؟
بدأت القصة عندما ترك أحد المهاجمين خادماً يعمل على منفذ عام مع تفعيل عرض الملفات، إضافة إلى وجود سجل أوامر shell يمكن قراءته. هذا الخطأ البسيط فتح نافذة مباشرة على بنية الهجوم كاملة.
الملفات المكشوفة لم تكن عادية، بل شملت إعدادات صفحات التصيد، وسجلات جمع كلمات المرور، وأرشيفات نسخ احتياطية، وحتى ملفات جلسات مرتبطة بتطبيقات مراسلة. وبهذا أصبح من الممكن تتبع أكثر من مشغل وراء النشاط نفسه.
ما الذي وُجد داخل الخادم؟
- إعدادات تصيد موجهة لحسابات Microsoft 365
- سجلات لبيانات اعتماد مسروقة
- أدوات إدارة وتحكم عن بُعد
- قوائم بريدية وحسابات جاهزة للاستهداف
- نسخ احتياطية وملفات تشغيل خاصة بالمهاجم
لماذا يُعد Evilginx خطيراً على الشركات؟
الأداة المستخدمة في الحملات كانت نسخاً معدلة من Evilginx، وهو إطار معروف بهجمات الرجل في المنتصف لاعتراض جلسات تسجيل الدخول. خطورته أنه لا يكتفي بسرقة كلمة المرور، بل يمكنه أيضاً التقاط رموز الجلسة بعد المصادقة.
أخطر ما في القضية أن إحدى الحملات بدت نشطة لأكثر من عام، مع تركيز واضح على صناديق البريد المؤسسية. وهذا يعني أن الهدف لم يكن مستخدمين عاديين، بل حسابات أعمال يمكن استغلالها في الاحتيال الداخلي وسرقة المراسلات.
- اعتراض جلسة تسجيل الدخول الحية
- الاستفادة من تدفقات تسجيل دخول مشروعة في مايكروسوفت
- تجديد الرموز المسروقة عند انتهاء صلاحيتها
كيف تم تجاوز MFA في هذه الهجمات؟
بحسب ما رصده تيكبامين، اعتمدت الحملات على أسلوبين مختلفين لتجاوز MFA. الأول يقوم على تمرير صفحة تسجيل الدخول الحقيقية عبر وكيل خبيث، بينما يستغل الثاني مسار تسجيل دخول مشروع للحصول على جلسة صالحة.
هذا الفارق مهم جداً لفرق الأمن، لأن وسائل الدفاع ليست واحدة. بعض الضوابط يجب أن تركز على مقاومة هجمات AiTM، بينما تحتاج حالات أخرى إلى سياسات جلسات أكثر صرامة ومراقبة غير اعتيادية لعمليات الدخول.
أفضل إجراءات الحماية للشركات
- تفعيل مفاتيح أمان مقاومة للتصيد مثل FIDO2
- مراجعة الجلسات النشطة وإنهاء الجلسات المشبوهة فوراً
- منع أدوات الوصول عن بُعد غير المصرح بها
- مراقبة النطاقات الفرعية والشهادات الجديدة المرتبطة بالعلامة
- توعية الموظفين برسائل البريد المزيفة وروابط تسجيل الدخول
من أين جاءت الأدوات وما دلالة ذلك؟
اللافت أن المشغل الأساسي لم يطوّر المنصة من الصفر، بل اعتمد على مستودعات عامة وعدّلها لتناسب عملياته. كما أظهرت الأدلة وجود أكثر من نسخة من Evilginx مأخوذة من مطورين آخرين، ما يشير إلى شبكة نشاط أوسع من مجرد حملة منفردة.
بعض التعديلات شملت تغيير خصائص في صفحات HTML لتفادي آليات التحقق، وإضافة محرك لإعادة كتابة الروابط بهدف تقليل فرص الاكتشاف. كما جرى تبسيط تجربة الضحية عبر تعبئة البريد الإلكتروني مسبقاً لرفع معدل النجاح.
الخلاصة أن التصيد ضد مايكروسوفت 365 لم يعد يعتمد على صفحات مزيفة بدائية، بل على منصات مرنة تتطور بسرعة وتستفيد من أخطاء تشغيلية صغيرة. لذلك يرى تيكبامين أن الجمع بين مفاتيح الأمان، ورصد الجلسات، ومراجعة البنية المكشوفة على الإنترنت هو خط الدفاع الأهم أمام هذا النوع من الهجمات.