حملة رش كلمات المرور المرتبطة بإيران تستهدف أكثر من 300 مؤسسة إسرائيلية عبر Microsoft 365 » مركز الأمن السيبراني للأبحاث والدراسات CCRS

كشفت شركة Check Point أن جهات تهديد مرتبطة بإيران شنت حملة Password Spraying واسعة النطاق ضد بيئات Microsoft 365 في إسرائيل والإمارات العربية المتحدة خلال مارس 2026، في ظل تصاعد التوترات الإقليمية.
الهجمات وقعت في ثلاث موجات رئيسية بتاريخ 3 و13 و23 مارس، واستهدفت أكثر من 300 مؤسسة إسرائيلية وما يزيد عن 25 مؤسسة إماراتية، إضافة إلى عدد محدود من الأهداف في أوروبا والولايات المتحدة والمملكة المتحدة والسعودية.
الجهات المستهدفة شملت مؤسسات حكومية، بلديات، شركات تقنية، قطاع النقل والطاقة، إضافة إلى كيانات خاصة.

تقنية Password Spraying

تقوم هذه التقنية على محاولة استخدام كلمة مرور شائعة واحدة ضد عدد كبير من أسماء المستخدمين، ما يجعلها أكثر فعالية في اكتشاف بيانات اعتماد ضعيفة على نطاق واسع دون إثارة أنظمة الحماية الخاصة بتحديد المعدل.
وقد استخدم المهاجمون عقد خروج Tor إلى جانب خدمات VPN تجارية مرتبطة بـ AS35758، وهو ما يتماشى مع أنماط سابقة لمجموعات إيرانية مثل Peach Sandstorm وGray Sandstorm (DEV-0343).

مراحل الهجوم

الحملة اتبعت ثلاث مراحل متتابعة:

المسح العدواني ورش كلمات المرور عبر عقد Tor.
محاولات تسجيل الدخول باستخدام بيانات الاعتماد الضعيفة المكتشفة.
استخراج البيانات الحساسة مثل محتوى صناديق البريد الإلكتروني.
تحليل سجلات Microsoft 365 أظهر تشابهًا مع أنشطة مجموعة Gray Sandstorm، بما في ذلك استخدام أدوات اختبار اختراق لتنفيذ الهجمات عبر Tor.

عودة عمليات Pay2Key

يتزامن الكشف مع عودة مجموعة Pay2Key المرتبطة بإيران إلى النشاط، حيث استهدفت مؤسسة صحية أميركية في فبراير 2026 باستخدام نسخة مطورة من برمجية الفدية.
الهجوم اعتمد على أدوات وصول شرعية مثل TeamViewer، ثم سرق بيانات اعتماد للتحرك الجانبي، وعطل Microsoft Defender، ونشر الفدية مع مسح السجلات لإخفاء الأثر.
النسخة الجديدة تضمنت تحسينات في التهرب والتنفيذ، إضافة إلى تقديم حوافز أكبر للشركاء بنسبة 80% من العائدات. كما ظهر إصدار Linux من البرمجية قادر على تعطيل خدمات النظام، قتل العمليات، وإيقاف آليات الحماية مثل SELinux وAppArmor قبل تشفير البيانات باستخدام خوارزمية ChaCha20.