هجمات تصيد متطورة تستهدف المؤسسات عبر ثغرات Microsoft Device Code

في تطور مقلق للمشهد السيبراني، كشفت تقارير حديثة عن حملة تصيد احتيالي واسعة النطاق تستهدف المؤسسات حول العالم، مستغلةً ثغرات في آلية المصادقة عبر رموز الأجهزة (Device Code Authentication) الخاصة بـ Microsoft. هذه الهجمات، التي بدأت في منتصف مارس 2026، لا تكتفي بكونها محاولات تقليدية، بل تعتمد على تقنيات الذكاء الاصطناعي والأتمتة لتنفيذ سلاسل هجوم معقدة تتجاوز أنظمة المصادقة متعددة العوامل (MFA) وتصل إلى صناديق البريد الإلكتروني للشركات وسرقة البيانات المالية الحساسة. صرح تانماي غاناتشاريا، نائب رئيس أبحاث الأمن في Microsoft ، بأن الشركة لاحظت ما بين 10 إلى 15 حملة متميزة تنطلق كل 24 ساعة، مما يؤكد ضخامة هذا النشاط التهديدي. وأوضح أن المهاجمين يستخدمون حمولات برمجية متنوعة وفريدة لكل ضحية، مما يجعل اكتشاف هذه الهجمات بناءً على الأنماط التقليدية أمراً بالغ الصعوبة. وتستهدف هذه الحملات مختلف القطاعات دون استثناء، مع تركيز واضح على استخراج البيانات المالية بعد نجاح عملية الاختراق. تعتمد هذه الهجمات على أداة تُعرف باسم "EvilTokens"، وهي مجموعة أدوات تصيد تم طرحها كخدمة (Phishing-as-a-Service) منذ منتصف فبراير. تتيح هذه الخدمة للمخترقين تجاوز حماية MFA والمصادقة بصمت كأنهم الضحية الفعلية داخل تطبيقات Microsoft 365. وبينما يركز المهاجمون حالياً على بيئة Microsoft ، تشير التقديرات إلى أن مشغلي هذه الخدمة يخططون لتوسيع نطاق نشاطهم ليشمل Gmail و Okta في المستقبل القريب. تبدأ سلسلة الهجوم بمرحلة استطلاع دقيقة، حيث يستخدم المهاجمون نقطة نهاية API الخاصة بـ Microsoft والمعروفة بـ GetCredentialType للتحقق من وجود عناوين البريد الإلكتروني المستهدفة ونشاطها داخل بيئة المؤسسة. تحدث هذه العملية عادةً قبل 10 إلى 15 يوماً من إطلاق حملة التصيد الفعلية، مما يمنح المهاجمين وقتاً كافياً لتخصيص رسائلهم. يتم استخدام الذكاء الاصطناعي لصياغة رسائل تصيد فائقة التخصيص تتناسب مع المسمى الوظيفي للمستهدف، متضمنةً موضوعات مثل طلبات تقديم العروض (RFP)، والفواتير، وسير عمل التصنيع. لتفادي أنظمة المسح الآلي، لا تضع الرسائل روابط مباشرة لمواقع التصيد، بل تستخدم سلسلة من عمليات إعادة التوجيه عبر منصات سحابية موثوقة مثل Cloudflare Workers و AWS Lambda و DigitalOcean ، مما يجعل حركة المرور تبدو وكأنها قادمة من مصادر مشروعة. تعتبر تقنية "رموز الأجهزة الديناميكية" العنصر الجوهري لنجاح هذه الهجمات. فبدلاً من استخدام رمز ثابت، يتم توليد الرمز في المرحلة النهائية من سلسلة إعادة التوجيه. عندما يدخل المستخدم إلى صفحة التصيد التي تبدو كصفحة Microsoft الشرعية ويقوم بإدخال الرمز، يبدأ المهاجمون في مراقبة الحالة عبر وظيفة checkStatus()، حيث يتم فحص الرمز كل 3 إلى 5 ثوانٍ. بمجرد أن يكمل الضحية عملية تسجيل الدخول بنجاح، يتم إرسال رمز الوصول (Access Token) إلى خوادم المهاجمين، مما يمنحهم وصولاً كاملاً وتجاوزاً فورياً لـ MFA. بعد الاختراق، يسعى المهاجمون لتحقيق استمرارية طويلة الأمد، حيث يقومون في كثير من الأحيان بتسجيل أجهزة جديدة في غضون دقائق لإنشاء رموز تحديث أساسية (PRT). وفي حالات أخرى، ينتظرون لساعات قبل البدء في سرقة رسائل البريد الإلكتروني الحساسة أو وضع قواعد داخل البريد الإلكتروني لإعادة توجيه الرسائل التي تحتوي على كلمات مفتاحية مثل "رواتب" أو "فواتير". للحد من هذه المخاطر، تنصح Microsoft المؤسسات بتقييد استخدام تدفق رموز الأجهزة (Device Code Flow) وحصره فقط في الحالات الضرورية للغاية. كما تشدد على أهمية تدريب الموظفين على اكتشاف محاولات التصيد، لا سيما الرسائل التي تأتي من خارج المؤسسة. إن الوعي الأمني يظل خط الدفاع الأول ضد هذه الهجمات المتقدمة التي تستغل الثقة في تقنيات المصادقة السحابية.