أعلنت Proofpoint عن ارتفاع ملحوظ في الهجمات الإلكترونية التي تستهدف حسابات مايكروسوفت 365 عبر استغلال ميزة مصادقة رسمية ومشروعة تابعة لمايكروسوفت للوصول إلى الحسابات.
توضح الشركة أن هذه الهجمات تتجاوز المصادقة متعددة العوامل (MFA) دون الحاجة إلى سرقة كلمات المرور أو الرموز المؤقتة، بل من خلال خداع المستخدمين للموافقة بأنفسهم على منح صلاحيات الوصول.
تفاصيل الإختراق وتكتيكات التصيّد
تشير الأدلة إلى أن المهاجمين يستهدفون المستخدمين باستخدام ميزة تدفق رمز الجهاز في بروتوكول OAuth 2.0 المصمم للأجهزة ذات إمكانيات الإدخال المحدودة، وتصل رسائل التصيّد عبر البريد الإلكتروني أو تطبيقات المراسلة وتدّعي الحاجة إلى تحقق عاجل من الحساب أو الاطلاع على مستند أو إجراء فحص أمني.
عند الضغط على الروابط أو استخدام رموز QR، يعرض للمستخدم رمز جهاز مضلل كأنه رمز تحقق مؤقت، ويُطلب إدخاله في صفحة تسجيل الدخول الرسمية الخاصة بمايكروسوفت.
بعد إدخال الرمز، تقوم مايكروسوفت دون علم المستخدم بمنح تطبيق يسيطر عليه المهاجم رمز وصول OAuth، ما يمنح المهاجم وصولًا فوريًا إلى حساب Microsoft 365 ويمكنه التنقل بين أنظمة المؤسسة والحفاظ على وصول طويل الأمد، وفي بعض الحالات يُستخدم للوصول لاحقًا في ابتزاز الضحايا.
رصدت Proofpoint وجود مجموعات تهديد تستخدم هذا الأسلوب، منها TA2723 التي تعتمد رسائل خداع مرتبطة بتحديثات الرواتب وإشعارات المزايا الوظيفية، إضافة إلى جهة مرتبطة بروسيا تُعرف بـ UNK_AcademicFlare وتستهدف قطاعات حكومية وأكاديمية وقطاع النقل في الولايات المتحدة وأوروبا.
كما لوحظ وجود أدوات تصيّد جاهزة مثل SquarePhish2 وGraphish، حيث تعمل SquarePhish2 على أتمتة تفويض الأجهزة باستخدام OAuth وتُعتمد غالبًا على رموز QR، بينما تتيح Graphish تنفيذ هجمات تصيّد عبر تسجيل تطبيقات على منصة Azure واستخدام تقنيات “الخصم في الوسط”.
وصفت Proofpoint هذا الأسلوب بأنه تطور خطير وغير معتاد في سلوك المهاجمين، حيث لم يعودوا يحاولون كسر MFA بل يستغلون آليات المصادقة نفسها، مما يجعل الهجمات أكثر تعقيدًا وصعوبة في الاكتشاف.
نصحت المؤسسة بتقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط، ومراقبة أنشطة OAuth بدقة، وتدريب الموظفين على عدم إدخال أي رموز تحقق غير مطلوبة حتى لو ظهرت على صفحات تسجيل دخول رسمية.
