أظهرت نتائج جديدة من شركة ReliaQuest أن جهات التهديد تستغل أداة Axios الخاصة بعميل HTTP، بالتوازي مع ميزة Direct Send في Microsoft، لتشكيل “سلسلة هجوم عالية الكفاءة” في حملات تصيّد متقدمة.
ووفق التقرير، ارتفع النشاط المرتبط بوكيل مستخدم Axios بنسبة 241% بين يونيو وأغسطس 2025، متجاوزًا بكثير الزيادة الإجمالية لوكلاء المستخدم الآخرين. وقد ارتبط هذا النشاط بمحاولات استيلاء على الحسابات في بيئات Microsoft 365 باستخدام تقنيات متطورة لتجاوز المصادقة متعددة العوامل (MFA) واستغلال رموز الجلسات.
تجاوز الدفاعات عبر Direct Send
تكمن خطورة هذه الهجمات في استغلال ميزة شرعية ضمن Microsoft 365 لإرسال رسائل بريد إلكتروني مموهة باسم مستخدمين موثوقين، ما يسمح بتجاوز بوابات الحماية والوصول مباشرة إلى صناديق البريد. وقد حققت الحملات التي جمعت بين Axios وDirect Send معدل نجاح بلغ 70%، مستهدفة قطاعات مثل التمويل والرعاية الصحية والتصنيع قبل أن تتوسع لاحقًا إلى جميع المستخدمين.
يُستخدم Axios لاعتراض وتعديل وإعادة إرسال طلبات HTTP، بما في ذلك سرقة رموز MFA أو استغلال SAS tokens في مصادقات Azure، مما يتيح للمهاجمين السيطرة على موارد حساسة.
تقنيات خادعة ورسائل مموهة
تستغل هذه الحملات طُعمًا يرتبط بالتعويضات المالية لخداع الضحايا وجرّهم لفتح مستندات PDF مزوّدة برموز QR خبيثة تقود إلى صفحات تسجيل دخول وهمية تحاكي Outlook. ولزيادة المصداقية، تُستضاف بعض هذه الصفحات على بنية Google Firebase.
كما تسهّل شعبية Axios في بيئات المؤسسات والمطورين على المهاجمين إخفاء أنشطتهم داخل حركة مرور تبدو طبيعية، مما يجعل رصدها أكثر صعوبة.
حزم Salty 2FA وتطور الهجمات
بالتوازي، رُصدت حملات تستخدم خدمة تصيّد كخدمة (PhaaS) تُدعى Salty 2FA قادرة على تجاوز MFA عبر محاكاة ستة طرق مختلفة، من رسائل SMS إلى الرموز المادية.
وتبدأ سلسلة الهجوم عبر صفحات أولية على خدمات مثل Aha.io تتنكر كإشعارات OneDrive، مرورًا بآلية تحقق Cloudflare Turnstile لتفادي أنظمة الأمان، وصولًا إلى صفحات تصيّد مجهزة بميزات متقدمة مثل: تصفية IP، التحديد الجغرافي، تعطيل أدوات المطور، وإنشاء نطاقات فرعية ديناميكية لكل ضحية.
كما تمتلك هذه الحزم خاصية “التخصيص الديناميكي” للواجهات المزيفة وفق نطاق البريد الإلكتروني للضحية، ما يزيد من فاعلية الهندسة الاجتماعية.
توصيات الحماية
ينصح الخبراء المؤسسات بتأمين أو تعطيل ميزة Direct Send إذا لم تكن ضرورية، وتطبيق سياسات صارمة لمكافحة الانتحال، وتدريب الموظفين على التمييز بين الرسائل المشروعة والخبيثة، إضافة إلى حظر النطاقات المشبوهة.
