MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

هاكرز يستخدمون تطبيقات OAuth وهمية مع أدوات Tycoon لاختراق حسابات Microsoft 365

هاكرز يستخدمون تطبيقات OAuth وهمية وTycoon لاختراق Microsoft 365. يتجاوزون MFA عبر AitM ويستهدفون أكثر من 900 بيئة.

هاكرز يستخدمون تطبيقات OAuth وهمية مع أدوات Tycoon لاختراق حسابات Microsoft 365

1 أغسطس 2025 | مايسترو نيرو - قسم أمن الهوية

كشفت شركة Proofpoint عن حملة أمنية جديدة يستخدم فيها المهاجمون تطبيقات OAuth وهمية تنتحل شركات شهيرة مثل RingCentral وSharePoint وAdobe وDocusign، بهدف سرقة بيانات الاعتماد والوصول غير المصرّح به إلى حسابات Microsoft 365.

تُعدّ هذه الحملة، التي رُصدت لأول مرة في أوائل 2025، مثالاً على تطور هجمات "الاختطاف أثناء التفاعل" (AitM) باستخدام أدوات متقدمة مثل Tycoon وODx، القادرة على تجاوز المصادقة متعددة العوامل (MFA).

رصدت الشركة أكثر من 50 تطبيقًا وهميًا تم استخدامها في حملات بريد إلكتروني، تنتحل شركات حقيقية لخداع الضحايا.

كيف يعمل الهجوم؟

تبدأ الهجمات برسائل بريد إلكتروني تُرسل من حسابات مُختَرَقة، وتُوهم الضحايا بأنها طلبات لتقديم عروض أسعار (RFQ) أو اتفاقيات تعاقدية.

عند النقر على الرابط:

  • يُوجّه المستخدم إلى صفحة OAuth رسمية من مايكروسوفت لتطبيق باسم "iLSMART"
  • يُطلب منه منح صلاحيات لعرض الملفات الأساسية والوصول المستمر للبيانات
  • رغم أن هذه الصلاحيات محدودة، إلا أنها تُستخدم كمرحلة أولى لتمهيد الهجوم
سواء وافق الضحية أم رفض، فإنه يُحوّل لاحقًا إلى صفحة CAPTCHA وهمية، ثم إلى صفحة مصادقة مايكروسوفت مزيفة.

تستخدم هذه الصفحة تقنية Adversary-in-the-Middle (AitM) عبر منصة Tycoon PhaaS لسرقة:

  • بيانات الاعتماد (اسم المستخدم وكلمة المرور)
  • رموز المصادقة متعددة العوامل (MFA)

حملات مستمرة ومستهدفة

في الشهر الماضي، رصدت Proofpoint حملة مشابهة تنتحل شركة Adobe، وتُرسل الرسائل عبر منصة Twilio SendGrid، بهدف توجيه المستخدمين إلى صفحات تصيد أو تدفق إلغاء خدمة يُحوّلهم إلى رابط خبيث.

في 2025 وحده، رُصدت محاولات اختراق لأكثر من 3000 حساب عبر 900 بيئة Microsoft 365، باستخدام أدوات Tycoon وتقنيات AitM.

وأشارت الشركة إلى أن "المهاجمين يبنون سلاسل هجومية مبتكرة لتجاوز أنظمة الكشف"، وتتوقع أن تصبح هجمات AitM "المعيار القياسي في الجريمة الإلكترونية".

تحديثات مايكروسوفت القادمة

أعلنت مايكروسوفت مؤخرًا عن تحديثات أمنية ستُطبّق بحلول أغسطس 2025، تشمل:

  • حظر بروتوكولات المصادقة القديمة افتراضيًا
  • طلب موافقة المسؤولين على وصول التطبيقات الخارجية
"سيؤثر هذا التحديث تأثيرًا إيجابيًا على البيئة الأمنية، وسيُضعف قدرة المهاجمين على استخدام هذه التقنيات." — Proofpoint

هجمات جانبية: PDF وهمية وبرامج RMM

في موازاة ذلك، رصدت شركات أمنية أخرى حملات تصيد موجّهة (Spear Phishing) تُرسل إيصالات دفع وهمية، وتُنفّذ هجمات عبر:

  • حَملات برمجية تعتمد على AutoIt لحقن برمجية .NET تُعرف باسم VIP Keylogger لسرقة البيانات
  • تضمير روابط لتثبيت برامج سطح مكتب عن بُعد داخل ملفات PDF تُقلّد فواتير أو عقود

تستهدف هذه الحملات بشكل رئيسي كيانات في فرنسا ولوكسمبورغ وبلجيكا وألمانيا منذ نوفمبر 2024.

تُستخدم أدوات إدارة عن بُعد مثل:
  • FleetDeck RMM
  • Action1، OptiTune، Bluetrait
  • Syncro، SuperOps، Atera، ScreenConnect
كنقطة دخول أولية، وقد تُستخدم لاحقًا لنشر برمجيات فدية.

تم التعديل في: 1 أغسطس 2025