كشفت شركة Volexity المتخصصة في الأمن السيبراني أن عدة جهات تهديد مرتبطة بروسيا تشن منذ أوائل مارس 2025 هجمات هندسة اجتماعية متقدمة تستهدف أفرادًا ومنظمات داعمة لأوكرانيا، بهدف اختراق حسابات Microsoft 365 باستخدام تقنية جديدة تستغل نظام المصادقة OAuth 2.0 من مايكروسوفت.
تغيير في أسلوب الهجمات: من تصيّد رموز الأجهزة إلى استغلال OAuth
تقول Volexity إن هذه الهجمات تمثل تحولًا عن الأساليب السابقة التي اعتمدت على ما يُعرف بـ تصيّد رموز الأجهزة (Device Code Phishing)، مما يشير إلى أن المهاجمين الروس يطورون تكتيكاتهم بذكاء.
الهجوم يتطلب تفاعل مباشر مع الضحية، حيث يُطلب منها النقر على رابط وإرسال رمز مصادقة يتم توليده بواسطة مايكروسوفت.
الجهات المتورطة: من هم المهاجمون؟
الهجمات نُسبت إلى مجموعتين تهديديتين تحت المسميات التالية:
UTA0352
UTA0355
لكن لم يُستبعد أن تكون لها صلة أيضًا بمجموعات أكثر شهرة مثل:
APT29 (المعروفة أيضًا باسم Cozy Bear)
UTA0304
UTA0307
كيف يتم تنفيذ الهجوم عبر OAuth؟
-
انتحال شخصيات رسمية: يتظاهر المهاجمون بأنهم مسؤولون من دول أوروبية، بل استغلوا حسابًا حكوميًا أوكرانيًا مخترقًا لإضفاء المصداقية.
-
الاتصال بالضحايا عبر تطبيقات Signal وWhatsApp، ودعوتهم للمشاركة في مكالمات فيديو أو فعاليات سرية حول أوكرانيا.
-
يتم إرسال مستند يحتوي على رابط يقود إلى بوابة تسجيل الدخول الرسمية لـ Microsoft 365.
-
بعد المصادقة، يتم إعادة توجيه الضحية إلى موقع يشبه Visual Studio Code (مثل insiders.vscode[.]dev)، حيث يظهر رمز OAuth.
-
يُطلب من الضحية إرسال هذا الرمز، مما يُمكن المهاجم من إنشاء رمز وصول (Access Token) يمكنه من اختراق حساب Microsoft 365 الخاص بالضحية.
في نسخة سابقة من الهجوم، تم توجيه المستخدمين إلى موقع وهمي
ثم يعاد توجيههم إلى العنوان المحلي (127.0.0.1)، مما يجعل الرمز يظهر فقط في رابط الصفحة، ويطلب المهاجم من الضحية إرسال هذا الرابط.
نسخة هجومية أكثر تطورًا من UTA0355
في أبريل 2025، قامت مجموعة UTA0355 باستخدام بريد إلكتروني حكومي أوكراني مخترق لإرسال رسائل تصيّد موجهة، تلاها تواصل عبر Signal وWhatsApp.
تمت دعوة الضحايا لحضور مؤتمر فيديو بشأن الاستثمار في أوكرانيا ومحاكمة جرائم الحرب.
لكن هناك اختلاف حاسم في هذه النسخة:
✔️ تم استغلال رمز OAuth لتسجيل جهاز جديد دائمًا على حساب Microsoft Entra ID الخاص بالضحية (المعروف سابقًا بـ Azure Active Directory).
ثم أُجبر الضحية على الموافقة على طلب المصادقة الثنائية (2FA)، مما يسمح للمهاجم بالتحكم الكامل في الحساب.
لماذا يصعب كشف هذا الهجوم؟
يتم تنفيذ الهجمات بالكامل من خلال بنية مايكروسوفت التحتية الرسمية
لا يتم استخدام تطبيقات OAuth ضارة أو خارجية
يتم استخدام خوادم بروكسي تُحاكي موقع الضحية جغرافيًا، ما يجعل كشف النشاط غير المشروع أكثر تعقيدًا
توصيات للمنظمات والمؤسسات الأمنية:
✅ مراجعة الأجهزة المُسجلة حديثًا في أنظمة Microsoft Entra ID
✅ تدريب الموظفين على مخاطر التواصل غير المرغوب فيه عبر تطبيقات الرسائل المشفرة
✅ تطبيق سياسات الوصول المشروط (Conditional Access) لحصر الدخول على الأجهزة الموثوقة فقط
✅ تفعيل المصادقة متعددة العوامل (MFA) مع إشعارات ذكية للمستخدمين
