كشفت شركة Proofpoint عن حملة تصيّد إلكتروني مرتبطة بجهات روسية، تستغل آلية المصادقة عبر رمز الجهاز (Device Code Authentication) لسرقة بيانات اعتماد مستخدمي Microsoft 365 والسيطرة على حساباتهم. هذه الحملة، التي بدأت منذ سبتمبر 2025، تُعرف باسم UNK_AcademicFlare، وتستهدف مؤسسات حكومية وعسكرية، إضافة إلى مراكز أبحاث وجامعات وقطاعات النقل في الولايات المتحدة وأوروبا.
آلية الاستغلال عبر البريد الإلكتروني
يعتمد المهاجمون على عناوين بريدية مخترقة تابعة لجهات حكومية وعسكرية لإرسال رسائل تبدو شرعية، غالباً في سياق دعوات لمقابلات أو اجتماعات وهمية. يتم تضمين رابط يشير إلى عنوان Cloudflare Worker يحاكي حساب OneDrive للمُرسل، ويُطلب من الضحية إدخال رمز محدد في صفحة تسجيل الدخول الرسمية لمايكروسوفت. بمجرد إدخال الرمز، يتم توليد رمز وصول (Access Token) يمكن للمهاجمين استعادته والسيطرة على الحساب المستهدف.
خلفية تقنية وتاريخ الهجمات
تقنية التصيّد عبر Device Code ليست جديدة، إذ وثقتها مايكروسوفت وشركة Volexity في فبراير 2025، وربطتها بمجموعات روسية مثل APT29 وStorm-2372 وUTA0304 وUTA0307. وفي الأشهر الأخيرة، حذرت تقارير من استمرار استغلال هذه الآلية من قبل جهات تهديد روسية، مستفيدة من سهولة استخدامها وانخفاض مستوى المهارة المطلوب لتنفيذها.
أدوات الجريمة الإلكترونية وانتشار الأسلوب
تشير بيانات Proofpoint إلى أن مجموعات متعددة، سواء كانت مدعومة من دول أو ذات دوافع مالية، تبنّت هذا الأسلوب لخداع المستخدمين. من بينها مجموعة TA2723 التي استخدمت رسائل تصيّد مرتبطة بالرواتب لتوجيه الضحايا إلى صفحات مزيفة وتفعيل المصادقة عبر Device Code. كما ساهمت أدوات مثل Graphish وSquarePhish في تسهيل هذه الهجمات، حيث توفر واجهات سهلة الاستخدام حتى للمهاجمين محدودي الخبرة، مما يزيد من انتشار الحملات.
إجراءات الحماية الموصى بها
لمواجهة هذا النوع من التصيّد، توصي الخبراء بإنشاء سياسة وصول مشروط (Conditional Access Policy) لتعطيل تدفق المصادقة عبر Device Code لجميع المستخدمين. وفي حال عدم إمكانية ذلك، يمكن اعتماد سياسة قائمة سماح (Allow-list) لتقييد استخدام هذه الآلية على مستخدمين أو أنظمة تشغيل أو نطاقات IP محددة ومعتمدة.
