تتزايد هجمات الاختراق عبر تطبيقات OAuth المزيفة، مما يهدد أمان حسابات Microsoft 365. في هذا المقال، نستعرض كيفية تنفيذ هذه الهجمات والتقنيات المستخدمة.
المهاجمون يستخدمون تطبيقات OAuth مزيفة مع مجموعة Tycoon لاختراق حسابات Microsoft 365
كشفت أبحاث الأمن السيبراني عن مجموعة جديدة من الأنشطة حيث يقوم المهاجمون بانتحال صفة شركات من خلال تطبيقات Microsoft OAuth مزيفة لتسهيل جمع بيانات الاعتماد كجزء من هجمات الاستيلاء على الحسابات.
قالت شركة Proofpoint في تقرير يوم الخميس: “تقوم التطبيقات المزيفة لـ Microsoft 365 بانتحال صفة شركات مختلفة، بما في ذلك RingCentral وSharePoint وAdobe وDocusign”.
تم اكتشاف الحملة المستمرة، التي بدأت في أوائل عام 2025، بهدف استخدام تطبيقات OAuth كبوابة للحصول على وصول غير مصرح به إلى حسابات مستخدمي Microsoft 365 من خلال أدوات التصيد مثل Tycoon وODx القادرة على إجراء تصيد متعدد العوامل.
أشارت شركة الأمن المؤسسي إلى أنها رصدت استخدام هذا الأسلوب في حملات بريد إلكتروني تضم أكثر من 50 تطبيقًا مزيفًا.
تبدأ الهجمات برسائل بريد إلكتروني مرسلة من حسابات مخترقة وتهدف إلى خداع المستلمين للنقر على روابط تحت ذريعة طلبات مشاركة عروض الأسعار أو اتفاقيات عقود الأعمال.
يؤدي النقر على هذه الروابط إلى توجيه الضحية إلى صفحة OAuth من Microsoft لتطبيق يسمى “iLSMART” تطلب منهم منحها الأذونات لعرض ملفهم الشخصي الأساسي والحفاظ على الوصول المستمر إلى البيانات التي تم منحهم الوصول إليها.
ما يجعل هذا الهجوم ملحوظًا هو انتحال شخصية ILSMart، وهو سوق إلكتروني شرعي لصناعة الطيران والبحرية والدفاع لشراء وبيع الأجزاء والخدمات الإصلاحية.
قالت شركة Proofpoint: “ستوفر أذونات التطبيقات استخدامًا محدودًا للمهاجم، لكنها تستخدم لإعداد المرحلة التالية من الهجوم”.
بغض النظر عما إذا كان الهدف قد قبل أو رفض الأذونات المطلوبة، يتم إعادة توجيههم أولاً إلى صفحة CAPTCHA ثم إلى صفحة مزيفة لمصادقة حساب Microsoft بمجرد اكتمال التحقق.
تستخدم هذه الصفحة المزيفة تقنيات التصيد من نوع adversary-in-the-middle (AitM) المدعومة من منصة Tycoon Phishing-as-a-Service (PhaaS) لجمع بيانات اعتماد الضحية ورموز MFA.
في الشهر الماضي، قالت Proofpoint إنها رصدت حملة أخرى تنتحل صفة Adobe حيث يتم إرسال الرسائل عبر Twilio SendGrid، وهي منصة تسويق عبر البريد الإلكتروني، وتم تصميمها بنفس الهدف: للحصول على تفويض المستخدم أو تفعيل تدفق إلغاء يعيد توجيه الضحية إلى صفحة تصيد.
تمثل الحملة مجرد نقطة في بحر مقارنة بالنشاط العام المرتبط بـ Tycoon، مع وجود عدة مجموعات تستفيد من مجموعة الأدوات لأداء هجمات الاستيلاء على الحسابات. في عام 2025 وحده، تم رصد محاولات اختراق حسابات تؤثر على ما يقرب من 3000 حساب مستخدم تغطي أكثر من 900 بيئة Microsoft 365.
قالت الشركة: “يخلق المهاجمون سلاسل هجوم مبتكرة بشكل متزايد في محاولة لتجاوز الاكتشافات والحصول على وصول إلى المنظمات على مستوى العالم”، مضيفة أنها “تتوقع أن يستهدف المهاجمون بشكل متزايد هوية المستخدمين، مع تحول التصيد باستخدام AitM إلى معيار صناعي إجرامي”.
اعتبارًا من الشهر الماضي، أعلنت Microsoft عن خطط لتحديث الإعدادات الافتراضية لتحسين الأمان عن طريق حظر بروتوكولات المصادقة القديمة وطلب موافقة المسؤول للوصول إلى التطبيقات من الطرف الثالث. من المتوقع أن تكتمل التحديثات بحلول أغسطس 2025.
قالت Proofpoint: “سيكون لهذا التحديث تأثير إيجابي على المشهد بشكل عام وسيعيق المهاجمين الذين يستخدمون هذه التقنية”.
تأتي هذه الإفصاحات بعد قرار Microsoft تعطيل الروابط الخارجية لملفات العمل إلى أنواع الملفات المحظورة بشكل افتراضي بين أكتوبر 2025 ويوليو 2026 في محاولة لتعزيز أمان ملفات العمل.
تأتي النتائج أيضًا في الوقت الذي تُستخدم فيه رسائل البريد الإلكتروني الخاصة بالصيد التي تحمل إيصالات دفع مزعومة لنشر برنامج ضار قائم على .NET يسمى VIP Keylogger يمكنه سرقة بيانات حساسة من المضيفين المخترقين، وفقًا لشركة Seqrite.
على مدار عدة أشهر، تم رصد حملات بريد عشوائي تخفي روابط تثبيت لبرامج سطح المكتب البعيد داخل ملفات PDF لتجاوز دفاعات البريد الإلكتروني والبرامج الضارة. يُعتقد أن الحملة مستمرة منذ نوفمبر 2024، مستهدفة بشكل رئيسي الكيانات في فرنسا ولوكسمبورغ وبلجيكا وألمانيا.
قالت شركة WithSecure: “غالبًا ما يتم تمويه هذه الملفات PDF لتبدو كفواتير أو عقود أو قوائم ممتلكات لتعزيز المصداقية وإغراء الضحايا بالنقر على الرابط المضمن”. “كان هذا التصميم يهدف إلى خلق وهم بمحتوى شرعي تم إخفاؤه، مما يدفع الضحية لتثبيت برنامج. في هذه الحالة، كان البرنامج هو FleetDeck RMM.”
تشمل أدوات المراقبة والإدارة عن بُعد (RMM) الأخرى التي تم نشرها كجزء من مجموعة الأنشطة Action1 وOptiTune وBluetrait وSyncro وSuperOps وAtera وScreenConnect.
قالت الشركة الفنلندية: “على الرغم من عدم ملاحظة أي حمولات بعد الإصابة، فإن استخدام أدوات RMM يشير بقوة إلى دورها كمتجه وصول أولي، مما قد يمكّن من مزيد من الأنشطة الضارة”. “لقد فضل مشغلو برامج الفدية هذا النهج بشكل خاص.”
مع تزايد هذه الأنشطة، من الضروري أن تبقى على اطلاع دائم بأحدث أساليب الحماية. تأكد من تحديث إعدادات الأمان الخاصة بك لحماية حساباتك.
