كشف باحثون في مجال الأمن السيبراني عن نشاط جديد يستهدف حسابات Microsoft 365 من خلال انتحال مؤسسات باستخدام تطبيقات OAuth مزيفة. تهدف هذه الحملة إلى سرقة بيانات الاعتماد كجزء من هجمات استيلاء على الحسابات، مستخدمة أدوات تصيّد متقدمة مثل Tycoon وODx التي تدعم تجاوز المصادقة متعددة العوامل (MFA).
ووفقًا لتقرير صادر عن شركة Proofpoint، فإن هذه التطبيقات الخبيثة تنتحل هوية شركات بارزة مثل RingCentral وSharePoint وAdobe وDocuSign، وتم اكتشاف هذه الحملة لأول مرة في أوائل عام 2025، ولا تزال نشطة حتى الآن.
خداع المستخدمين عبر رسائل التصيّد والبريد الإلكتروني
تبدأ الهجمات بإرسال رسائل تصيّد إلكتروني من حسابات تم الاستيلاء عليها سابقًا، وتُقنع الضحايا بالضغط على روابط تحت ذريعة طلب عروض أسعار أو توقيع اتفاقيات تجارية. وعند النقر، يُوجَّه الضحية إلى صفحة OAuth تابعة لما يبدو أنه تطبيق باسم “iLSMART”، يطلب أذونات للاطلاع على ملف المستخدم الأساسي والوصول الدائم إلى البيانات المصرح بها.
وتكمن الخطورة في أن التطبيق ينتحل هوية iLSMart، وهو سوق إلكتروني شرعي متخصص في مجال الطيران والبحرية والدفاع. وأوضحت Proofpoint أن الأذونات المطلوبة لا تمنح المهاجم وصولًا واسعًا، لكنها تُستخدم لتمهيد المرحلة التالية من الهجوم.
سرقة بيانات الاعتماد من خلال تقنيات AitM
بغض النظر عما إذا وافق الضحية على منح الأذونات أو رفضها، يتم أولًا توجيهه إلى صفحة تحقق عبر CAPTCHA، ثم إلى صفحة تسجيل دخول وهمية لمايكروسوفت. وتستغل هذه الصفحة تقنيات “الخصم في المنتصف” (Adversary-in-the-Middle – AitM) من خلال منصة Tycoon لتصّيّد كخدمة (PhaaS) من أجل سرقة بيانات تسجيل الدخول ورموز المصادقة متعددة العوامل.
في حملة أخرى رُصدت الشهر الماضي، تم انتحال هوية Adobe ضمن رسائل بريد إلكتروني أُرسلت عبر منصة Twilio SendGrid. وتهدف تلك الرسائل إلى إما الحصول على تفويض المستخدم أو خداعه لتفعيل عملية إلغاء تؤدي به إلى صفحة تصيّد.
حملات متعددة تستهدف آلاف الحسابات في بيئة Microsoft 365
تُعد هذه الحملات جزءًا من سلسلة أوسع من الأنشطة المرتبطة بحزمة Tycoon، والتي استخدمت لاختراق نحو 3000 حساب مستخدم داخل أكثر من 900 بيئة Microsoft 365 في عام 2025 وحده. وصرّحت Proofpoint بأن الجهات المهاجمة تطوّر سلاسل هجوم متقدمة لتجاوز أنظمة الكشف والوصول إلى البنى التحتية العالمية، مضيفة أن هجمات التصيّد التي تستهدف الهوية باستخدام تقنيات AitM باتت معيارًا متناميًا في الجرائم الإلكترونية.
استجابات أمنية من مايكروسوفت والتوجه نحو تعزيز الحماية
أعلنت مايكروسوفت عن نيتها تحديث الإعدادات الافتراضية لتعزيز الأمان، من خلال حظر بروتوكولات المصادقة القديمة وفرض موافقة المشرفين على وصول التطبيقات الخارجية، ومن المتوقع اكتمال هذه التحديثات بحلول أغسطس 2025. وأشارت Proofpoint إلى أن هذا التغيير “سيؤثر إيجابيًا على مشهد التهديدات، ويقيد قدرة المهاجمين على استخدام هذه التقنية”.
وفي سياق متصل، أعلنت مايكروسوفت أيضًا عن قرارها تعطيل الروابط الخارجية لملفات غير آمنة داخل ملفات Excel بين أكتوبر 2025 ويوليو 2026، في إطار جهودها لتحسين أمان المصنفات.
تصاعد الهجمات عبر البريد الإلكتروني ونشر برمجيات ضارة
أشارت شركة Seqrite إلى أن رسائل تصيّد موجهة تحتوي على إيصالات مزعومة للدفع تُستخدم لنشر برمجية تجسس تدعى VIP Keylogger تعتمد على منصة .NET، وتُحقن من خلال أداة AutoIt، وتستهدف جمع بيانات حساسة من الأجهزة المصابة.
إخفاء روابط تثبيت أدوات التحكم عن بعد داخل ملفات PDF
رصدت حملات بريد عشوائي تُخفي روابط تثبيت برمجيات تحكم عن بعد داخل ملفات PDF مصممة لتبدو كفواتير أو عقود أو عروض عقارية. وتعتقد شركة WithSecure أن هذه الحملات بدأت منذ نوفمبر 2024 وتستهدف كيانات في فرنسا ولوكسمبورغ وبلجيكا وألمانيا.
وكان الهدف من هذا التنسيق هو تعزيز مصداقية الملف وإقناع الضحية بتحميل البرنامج، والذي تبيّن أنه تطبيق FleetDeck RMM. وتشمل أدوات المراقبة والإدارة الأخرى التي استخدمت ضمن هذه الأنشطة كلًا من: Action1، OptiTune، Bluetrait، Syncro، SuperOps، Atera، وScreenConnect.
وأفادت WithSecure أنه رغم عدم ملاحظة حمولة خبيثة ما بعد الإصابة حتى الآن، إلا أن استخدام أدوات التحكم يشير بوضوح إلى دورها كنقطة دخول أولية لهجمات محتملة لاحقة، وغالبًا ما تُستخدم هذه الأساليب من قِبل مشغّلي برمجيات الفدية.
