شارك

منصة Tycoon2FA تطور أساليبها لاختراق Microsoft 365 عبر رموز الأجهزة

فريق جلتش19 مايو0 مشاهدة4 دقائق
شارك
منصة Tycoon2FA تطور أساليبها لاختراق Microsoft 365 عبر رموز الأجهزة

"منصة Tycoon2FA تعود بتقنيات Device-Code لاختراق حسابات Microsoft 365 وتجاوز المصادقة الثنائية. الهجوم يستغل بروتوكولات OAuth الشرعية ويستهدف المؤسسات بكثافة."

مقدمة تحليلية

تثبت عودة منصة Tycoon2FA إلى العمل بعد أقل من شهرين من تفكيك بنيتها التحتية من قبل الشرطة الدولية (Europol) في مارس 2026، أن اقتصاد الجريمة السيبرانية كخدمة (PhaaS) يمتلك مرونة تفوق التوقعات. لم تكتفِ المنصة بالعودة، بل دمجت تقنيات هجومية متطورة تعتمد على بروتوكول OAuth 2.0، وتحديداً تدفق 'تفويض الأجهزة' (Device Authorization Grant)، لاستهداف حسابات Microsoft 365. تشير البيانات الصادرة عن شركة Abnormal AI وeSentire إلى أن هذا النوع من الهجمات سجل قفزة هائلة بمعدل 37 ضعفاً خلال العام الجاري، مما يضع أنظمة المصادقة الثنائية التقليدية (MFA) في اختبار حرج أمام أساليب الهندسة الاجتماعية التي تستغل القنوات الشرعية لشركة Microsoft. إن خطورة Tycoon2FA تكمن في قدرتها على عزل الضحية داخل بيئة تبدو آمنة تماماً؛ حيث يتم توجيه المستخدم لإدخال رموز على نطاقات Microsoft الرسمية، مما يمنح المهاجم 'رموز الوصول' (Access Tokens) و'رموز التحديث' (Refresh Tokens). هذا التحول من سرقة كلمات المرور التقليدية إلى سرقة 'الجلسات والرموز' يمثل تهديداً وجودياً للمؤسسات التي تعتمد كلياً على بيئات الحوسبة السحابية، خاصة مع تسجيل تورط 10 منصات تصيد مختلفة في استخدام هذه التقنية المحددة مؤخراً.

التحليل التقني

يعتمد هجوم Tycoon2FA الجديد على سلسلة توريد معقدة تتكون من أربع طبقات تقنية مصممة لتجاوز الحلول الأمنية وتضليل الباحثين. تبدأ الرحلة برسالة بريد إلكتروني تحتوي على فاتورة مزيفة تضم رابط تتبع للنقرات تابع لمنصة Trustifi، وهي منصة أمن بريد إلكتروني شرعية، مما يمنح الرابط مصداقية أولية أمام فلاتر البريد. تتضمن الآلية التقنية الخطوات التالية:
  • إعادة التوجيه المتعددة: يمر الرابط عبر عمال Cloudflare (Cloudflare Workers) وطبقات متعددة من لغة JavaScript المشفرة لإخفاء الوجهة النهائية.
  • تجاوز أنظمة الفحص: تمتلك المنصة قائمة حظر (Blocklist) تضم أكثر من 230 اسماً لشركات أمنية، وتقوم بالكشف عن أدوات مثل Selenium وPuppeteer وBurp Suite. إذا تم اكتشاف بيئة تحليل، يتم توجيه الطلب فوراً إلى صفحة Microsoft حقيقية لتضليل الباحثين.
  • استغلال Device Code Flow: يقوم خادم المهاجم بطلب رمز تفويض من Microsoft، ثم يعرضه للضحية عبر صفحة CAPTCHA مزيفة، ويطلب منه إدخاله في الرابط الرسمي microsoft.com/devicelogin.
  • تثبيت الجهاز المارق: بمجرد إدخال الرمز وإتمام الضحية للمصادقة الثنائية على جهازه الخاص، تصدر Microsoft رموز OAuth للمهاجم، مما يسمح له بتسجيل جهاز غير مصرح به والوصول الكامل إلى البريد، التقويم، وOneDrive دون الحاجة لتكرار المصادقة.
تستخدم المنصة أيضاً تقنية 'فخاخ توقيت التصحيح' (Debugger Timing Traps) لمنع المحللين من تتبع تنفيذ الأكواد البرمجية داخل المتصفح، مما يجعل عملية الهندسة العكسية للقالب البرمجي صعبة للغاية حتى على المتخصصين.

السياق وتأثير السوق

يعكس تطور Tycoon2FA توجهاً أوسع في سوق 'التصيد كخدمة' نحو استهداف بروتوكولات الهوية الرقمية بدلاً من البيانات المخزنة. ففي حين كانت هجمات التصيد السابقة تركز على واجهات تسجيل دخول مزيفة تشبه صفحة Microsoft، فإن الجيل الحالي يستخدم صفحة Microsoft الحقيقية كأداة في الهجوم. هذا يقلل من احتمالية اكتشاف الهجوم من قبل المستخدمين المدربين على فحص روابط URLs، لأن الرابط الذي يدخلون فيه الرمز هو بالفعل نطاق موثوق تابع لشركة Microsoft. بالإضافة إلى ذلك، فإن استخدام خدمات مثل Trustifi وCloudflare كواجهة للهجوم يعقد مهمة مقدمي خدمات الأمن (MSSPs) في حظر الروابط بشكل استباقي، حيث يؤدي حظر هذه النطاقات إلى تعطيل أعمال شرعية واسعة النطاق. تشير تقارير Proofpoint إلى أن هذا التصاعد في هجمات 'رموز الأجهزة' يأتي بالتزامن مع تزايد تبني المؤسسات لسياسات العمل عن بُعد، مما زاد من اعتماد المستخدمين على بروتوكولات تسجيل الدخول السريعة للأجهزة المتعددة، وهي الثغرة السلوكية التي يستغلها المهاجمون اليوم ببراعة.

رؤية Glitch4Techs

نرى في Glitch4Techs أن نجاح Tycoon2FA في العودة بقوة يكشف عن فجوة هيكلية في كيفية إدارة بروتوكولات OAuth داخل المؤسسات. إن الاعتماد على المصادقة الثنائية (MFA) لم يعد ضمانة كافية إذا كان البروتوكول نفسه يسمح بتفويض أجهزة خارجية عبر خطوات بسيطة. المشكلة ليست في ثغرة برمجية داخل Microsoft، بل في ميزة مصممة لتسهيل الاستخدام تم تحويلها إلى سلاح رقمي. نتوقع أن تشهد الفترة القادمة زيادة في الهجمات التي تستهدف 'المصادقة المستمرة' (Continuous Access Evaluation - CAE). الحل لا يكمن في مزيد من التدريب للموظفين فحسب، بل في إجراءات تقنية صارمة تشمل:
  • تعطيل تدفق 'Device Code' تماماً في البيئات التي لا تتطلب تسجيل دخول من أجهزة بدون متصفحات (مثل أجهزة IoT).
  • فرض سياسات الوصول المشروط (Conditional Access) التي تشترط أن يكون الجهاز المستخدم للوصول مسجلاً ومطابقاً لمعايير الأمان المؤسسية (Compliant Devices).
  • مراقبة سجلات Entra بدقة للبحث عن تسجيلات دخول مشبوهة باستخدام وكلاء مستخدم Node.js، والتي تعد علامة مميزة لعمليات Tycoon2FA.
في نهاية المطاف، المعركة مع Tycoon2FA هي معركة استنزاف؛ فالمهاجمون يطورون أدواتهم لتجاوز الأتمتة الأمنية، مما يتطلب من المدافعين الانتقال من 'صد الهجمات' إلى 'تقليص مساحة الهجوم' عبر إلغاء الميزات غير الضرورية في بروتوكولات الهوية.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.