مهاجمون يستخدمون تطبيقات OAuth مزيفة مع مجموعة Tycoon لاختراق حسابات Microsoft 365
كشف باحثو الأمن السيبراني عن مجموعة جديدة من الأنشطة حيث يقوم المهاجمون بانتحال هوية الشركات من خلال تطبيقات Microsoft OAuth المزيفة لتسهيل جمع بيانات الاعتماد كجزء من هجمات الاستيلاء على الحسابات.
قالت شركة Proofpoint في تقرير يوم الخميس: “تقوم تطبيقات Microsoft 365 المزيفة بانتحال هوية شركات متعددة، بما في ذلك RingCentral وSharePoint وAdobe وDocusign.”
تستهدف الحملة المستمرة، التي تم اكتشافها لأول مرة في أوائل عام 2025، استخدام تطبيقات OAuth كبوابة للحصول على وصول غير مصرح به إلى حسابات Microsoft 365 الخاصة بالمستخدمين من خلال أدوات التصيد مثل Tycoon وODx القادرة على إجراء تصيد متعدد العوامل (MFA).
لاحظت الشركة الأمنية أن هذه الطريقة تم استخدامها في حملات بريد إلكتروني تضم أكثر من 50 تطبيقًا مزيفًا.
تبدأ الهجمات برسائل بريد إلكتروني مرسلة من حسابات مخترقة وتهدف إلى خداع المستلمين للنقر على روابط تحت ذريعة طلبات مشاركة عروض الأسعار (RFQ) أو اتفاقيات عقود الأعمال.
النقر على هذه الروابط يوجه الضحية إلى صفحة OAuth الخاصة بـ Microsoft لتطبيق يسمى “iLSMART” الذي يطلب منهم منح الإذن لرؤية ملفهم الشخصي الأساسي والحفاظ على الوصول المستمر إلى البيانات التي تم منحهم الوصول إليها.
ما يجعل هذا الهجوم ملحوظًا هو انتحال هوية ILSMart، وهو سوق إلكتروني شرعي لصناعة الطيران والبحرية والدفاع لشراء وبيع الأجزاء وخدمات الإصلاح.
قالت Proofpoint: “ستوفر أذونات التطبيقات استخدامًا محدودًا للمهاجم، لكنها تستخدم لإعداد المرحلة التالية من الهجوم.”
بغض النظر عن قبول الهدف أو رفض الأذونات المطلوبة، يتم إعادة توجيههم أولاً إلى صفحة CAPTCHA ثم إلى صفحة مزيفة لمصادقة حساب Microsoft بمجرد اكتمال التحقق.
تستخدم هذه الصفحة المزيفة تقنيات التصيد المتقدم (AitM) المدعومة من منصة Tycoon Phishing-as-a-Service (PhaaS) لجمع بيانات اعتماد الضحية وأكواد MFA.
في الشهر الماضي فقط، قالت Proofpoint إنها رصدت حملة أخرى تنتحل هوية Adobe حيث يتم إرسال الرسائل عبر Twilio SendGrid، وهي منصة تسويق عبر البريد الإلكتروني، وتم تصميمها بنفس الهدف: الحصول على تفويض المستخدم أو تفعيل تدفق إلغاء يعيد توجيه الضحية إلى صفحة تصيد.
تمثل الحملة مجرد قطرة في البحر مقارنة بالنشاط العام المرتبط بـ Tycoon، مع وجود مجموعات متعددة تستفيد من مجموعة الأدوات لتنفيذ هجمات الاستيلاء على الحسابات. في عام 2025 وحده، تم رصد محاولات اختراق حسابات تؤثر على ما يقرب من 3000 حساب مستخدم تمتد عبر أكثر من 900 بيئة Microsoft 365.
قالت الشركة: “يخلق المهاجمون سلاسل هجوم مبتكرة بشكل متزايد في محاولة لتجاوز الاكتشافات والحصول على وصول إلى المنظمات على مستوى العالم”، مضيفة أنها “تتوقع أن يستهدف المهاجمون بشكل متزايد هوية المستخدمين، مع تحول تصيد بيانات الاعتماد باستخدام AiTM إلى معيار صناعي إجرامي.”
اعتبارًا من الشهر الماضي، أعلنت Microsoft عن خطط لتحديث الإعدادات الافتراضية لتحسين الأمان من خلال حظر بروتوكولات المصادقة القديمة وطلب موافقة المسؤول للوصول إلى التطبيقات الخارجية. من المتوقع أن تكتمل التحديثات بحلول أغسطس 2025.
أشارت Proofpoint إلى أن “هذا التحديث سيكون له تأثير إيجابي على المشهد بشكل عام وسيعيق المهاجمين الذين يستخدمون هذه التقنية.”
تأتي هذه الإعلانات بعد قرار Microsoft تعطيل الروابط الخارجية لملفات العمل إلى أنواع الملفات المحظورة بشكل افتراضي بين أكتوبر 2025 ويوليو 2026 في محاولة لتعزيز أمان ملفات العمل.
تأتي النتائج أيضًا في الوقت الذي تُستخدم فيه رسائل البريد الإلكتروني الخاصة بالتصيد التي تحمل إيصالات دفع مزعومة لنشر قطعة من البرمجيات الضارة المعروفة باسم VIP Keylogger التي يمكنها سرقة البيانات الحساسة من الأنظمة المخترقة، وفقًا لشركة Seqrite.
على مدار عدة أشهر، تم رصد حملات بريد عشوائي تخفي روابط التثبيت لبرامج سطح المكتب البعيد داخل ملفات PDF لتجاوز دفاعات البريد الإلكتروني والبرمجيات الضارة. يُعتقد أن الحملة مستمرة منذ نوفمبر 2024، مستهدفة بشكل أساسي الكيانات في فرنسا ولوكسمبورغ وبلجيكا وألمانيا.
قالت شركة WithSecure: “غالبًا ما يتم تمويه هذه الملفات PDF لتبدو كفواتير أو عقود أو قوائم عقارية لتعزيز المصداقية وإغراء الضحايا للنقر على الرابط المضمن”. “كان هذا التصميم يهدف إلى خلق وهم بمحتوى شرعي تم إخفاؤه، مما يحفز الضحية على تثبيت برنامج. في هذه الحالة، كان البرنامج هو FleetDeck RMM.”
تشمل أدوات المراقبة والإدارة عن بُعد (RMM) الأخرى التي تم نشرها كجزء من مجموعة الأنشطة Action1 وOptiTune وBluetrait وSyncro وSuperOps وAtera وScreenConnect.
قالت الشركة الفنلندية: “على الرغم من عدم رصد أي حمولات بعد الإصابة، فإن استخدام أدوات RMM يشير بقوة إلى دورها كوسيلة للوصول الأولي، مما قد يمكّن من مزيد من الأنشطة الخبيثة”. “لقد فضل مشغلو برامج الفدية هذا النهج بشكل خاص.”
