كشف باحثون في الأمن السيبراني عن حملة تصيّد نشطة تستغل آلية “رمز الجهاز” في بروتوكول OAuth لاستهداف هويات مستخدمي مايكروسوفت 365، حيث طالت أكثر من 340 مؤسسة في الولايات المتحدة وكندا وأستراليا ونيوزيلندا وألمانيا. هذه الهجمات، التي رُصدت لأول مرة في 19 فبراير 2026، شهدت تصاعداً سريعاً في وتيرتها، ما أثار قلقاً واسعاً في الأوساط الأمنية.
آلية الهجوم عبر رمز الجهاز
تعتمد التقنية على استغلال تدفق التفويض الخاص بالأجهزة في OAuth، حيث يقوم المهاجم بطلب رمز جهاز من مزوّد الهوية (مثل Microsoft Entra ID) عبر واجهة برمجية شرعية. بعد ذلك، يُرسل للمستخدم رسالة بريد إلكتروني مقنعة تحثه على زيارة صفحة تسجيل الدخول الرسمية “microsoft.com/devicelogin” وإدخال الرمز.
بمجرد إدخال المستخدم للرمز مع بياناته وكود المصادقة الثنائية، يتم إنشاء رموز وصول وتجديد صالحة تمنح المهاجم وصولاً دائماً إلى الحساب، حتى بعد تغيير كلمة المرور. هذه النقطة تجعل الهجوم بالغ الخطورة، إذ يمنح المهاجم سيطرة طويلة الأمد على الحسابات المستهدفة.
تنوع أساليب التصيّد
ما يميز هذه الحملة ليس فقط استغلال رموز الأجهزة، بل أيضاً تنوع الأساليب المستخدمة. فقد رُصدت رسائل تتعلق بعطاءات البناء، صفحات توليد أكواد، انتحال هوية DocuSign، إشعارات بريد صوتي، وحتى إساءة استخدام صفحات Microsoft Forms. جميع هذه الأساليب تستهدف نفس مجموعة الضحايا عبر بنية تحتية مستضافة على منصة Railway، التي تحولت إلى أداة لجمع بيانات الاعتماد.
كما استخدم المهاجمون خدمات إعادة التوجيه الشرعية من شركات أمنية مثل Cisco وTrend Micro وMimecast لتجاوز مرشحات البريد المزعج، قبل أن ينقلوا الضحية عبر سلسلة من المواقع المخترقة وCloudflare Workers وVercel وصولاً إلى الصفحة النهائية.
الجهات المتورطة والمنصات المستغلة
أشارت تقارير سابقة إلى أن مجموعات مرتبطة بروسيا مثل APT29 وStorm-2372 وUTA0304 وUTA0307 استخدمت هذه التقنية منذ عام 2025. وفي الحملة الأخيرة، تم ربط الهجمات بمنصة جديدة تُعرف باسم “EvilTokens”، وهي خدمة تصيّد كخدمة (PhaaS) ظهرت حديثاً على تليغرام. المنصة توفر أدوات لإرسال رسائل تصيّد وتجاوز المرشحات، إضافة إلى لوحة تحكم متطورة ودعم فني على مدار الساعة.
الاعتماد على خدمات موثوقة مثل Cloudflare Workers يعكس براعة المهاجمين في استغلال الثقة المؤسسية لتجاوز أنظمة الحماية، وهو ما يزيد من صعوبة اكتشاف الهجمات.
إجراءات الحماية الموصى بها
ينصح الخبراء المؤسسات بمراجعة سجلات تسجيل الدخول لرصد محاولات الدخول من عناوين IP المرتبطة بـ Railway، وإلغاء جميع رموز التجديد للمستخدمين المتأثرين، وحظر محاولات المصادقة القادمة من بنية Railway إن أمكن.
كما حذرت وحدة 42 التابعة لشركة Palo Alto Networks من حملة مشابهة، مشيرة إلى استخدام تقنيات مضادة للروبوتات والتحليل، مثل تعطيل النقر بزر الفأرة الأيمن ومنع اختصارات أدوات المطور، وذلك لإخفاء النشاط الخبيث ومنع الباحثين من تحليل الصفحات.
هذه الإجراءات تؤكد أن التصيّد عبر رموز الأجهزة يمثل تطوراً خطيراً في مشهد الهجمات السيبرانية، إذ يستغل بنية تحتية شرعية ويمنح المهاجمين وصولاً طويل الأمد إلى حسابات حساسة في قطاعات متعددة تشمل البناء، الصحة، المالية، القانون، والحكومة.
