خادم مجهول يكشف شبكة تصيد لـ Microsoft 365: ثلاث عمليات تجاوزت MFA
فريق جلتش15 يوليو0 مشاهدة7 دقائق

مقدمة تحليلية كشفت شركة Lexfo الأمنية الفرنسية عن ثلاث عمليات تصيد نشطة استهدفت حسابات Microsoft 365 المؤسسية، وذلك بفضل خادم ويب Python تم تركه يستمع على منفذ
مقدمة تحليلية
كشفت شركة Lexfo الأمنية الفرنسية عن ثلاث عمليات تصيد نشطة استهدفت حسابات Microsoft 365 المؤسسية، وذلك بفضل خادم ويب Python تم تركه يستمع على منفذ عام (8080) مع تمكين استعراض الدلائل. كانت الأداة، وهي أمر `python3 -m http.server 8080`، لا تزال مرئية في ملف `.bash_history` للخادم. هذا الإهمال سمح لـ Lexfo باستخراج مجموعة الأدوات الكاملة للمهاجم، والتحقيق فيها للكشف عن مشغلي تصيد إضافيين. جميع العمليات الثلاث اعتمدت على نسخ مخصصة من وكيل Evilginx مفتوح المصدر المستنسخ من GitHub. استمرت أكبر هذه العمليات لأكثر من عام، وكانت غالبية ضحاياها من صناديق البريد الإلكتروني للشركات. تجاوزت هذه العمليات المصادقة متعددة العوامل (MFA) بطريقتين ميكانيكيتين مختلفتين: الأولى عن طريق التوكيل المباشر لتسجيل الدخول، والثانية عبر إساءة استخدام تدفق تسجيل دخول شرعي لـ Microsoft. تعرض الدليل المكشوف على الخادم ملفات إعداد التصيد، وسجلات سرقة بيانات الاعتماد، ومثبتات RMM، وقوائم كلمات المرور المشتركة (combolists)، وأرشيفات النسخ الاحتياطية، وحتى ملفات جلسات Telegram الخاصة بالمشغل. كان الخادم يعمل على IP 185.163.204[.]7 في بودابست، وتم فهرسته في أواخر أبريل 2026. شير سجل `bash` ومستودعات GitHub العامة مباشرة إلى المشغل الأول: ممثل مصري يتعقبه Lexfo باسم codemado. هذا الفاعل نشط في منتديات VoIP والقرصنة منذ عام 2018، ويدير حالياً منصة Microsoft 365 AiTM على `picis.net`، ويقوم بتحقيق الدخل من الوصول عبر أداة إرسال بريد جماعي كتبها بنفسه تسمى MaDoO Blaster. بدأت حملته في 20 أبريل واستمرت بعد اكتشاف الدليل في 30 أبريل، مع ظهور نطاقات فرعية جديدة وشهادات wildcard متجددة بعد أسابيع. سجل بوت المشغل نفسه عمليات استيلاء على حسابي M365 مؤسسيين، أحدهما فرنسي والآخر في أمريكا الشمالية. عمليات الاستيلاء المتكررة للحسابات نفسها من عناوين IP مختلفة تتوافق مع قيام المشغل بتحديث الرموز المسروقة منتهية الصلاحية.التحليل التقني
لم يقم codemado ببناء الإطار الذي يشغله؛ لقد استنسخه. أظهر سجل `bash` الخاص به مقارنته للعديد من الأدوات. احتوى الخادم على أربعة إصدارات من Evilginx تم سحبها من مطورين آخرين على GitHub، وكلاهما تبين أنهما مشغلان نشطان بنفسهما. * red-queen: مصدره مشغل نيجيري يطلق عليه التقرير اسم mail-argenta. يظهر هذا الفرع مستوى التعديلات التي يمكن إجراؤها على إطار عمل عام. قام `mail-argenta` بتعديل سمات HTML `crossorigin` و`integrity` لإبطال فحوصات تكامل الموارد الفرعية (Subresource Integrity)، وأضاف محرك إعادة كتابة URL إلى `http_proxy.go` لتجنب الكشف المستند إلى المسار. كما قام بتعبئة عنوان البريد الإلكتروني للضحية مسبقاً لتقليل معدل التخلي عن العملية. قام هذا الفرع أيضاً بتعيين مدة صلاحية (TTL) لمدة عام واحد (31,536,000 ثانية) لملفات تعريف الارتباط الخاصة بجلسات Microsoft الملتقطة. يشير التقرير إلى أن تسجيل الدخول المعترض يمكن أن يتجاوز إعادة تعيين كلمة المرور ويظل قابلاً للاستخدام لأشهر دون سياسة الوصول الشرطي (Conditional Access) المدعومة بتقييم الوصول المستمر (CAE). تم تضمين ملف `evilginx2.exe` مسبق التجميع في المستودع، مما يلغي الحاجة للمشتري إلى بناء أي شيء. حمل ملف تعريف ارتباط M365 واحد تم التقاطه في المستودع تاريخ انتهاء صلاحية في 30 يونيو 2027. تم الكشف عن `mail-argenta` نفسه بطريقة مشابهة لضحاياه: عثرت Lexfo على بريده الإلكتروني وكلمة مروره في سجلات برامج سرقة المعلومات (infostealer logs)، وهو نوع البيانات التي تنتجها لوحات التصيد الخاصة به. تطابقت كلمة المرور المسربة مع كلمة المرور المشفرة كـ MySQL في لوحة Kraken الخاصة به وإعادة استخدامها عبر حساباته. * black-queen: قام هذا الفرع الثالث، الذي لم يتمكن الباحثون من تحديد هويته سوى بمعرف saroula01، بتسجيل عدد أكبر بكثير من عمليات الاستيلاء مقارنة بالآخرين، ولم يمس كلمات المرور مطلقاً. تم بناء هذا الفرع حول تدفق رمز جهاز OAuth من Microsoft، وهو مسار تسجيل دخول شرعي مصمم للأجهزة محدودة الإدخال. يولد الهجوم رمز جهاز حقيقياً، يلفه في صفحة إغراء مستوحاة من تطبيق Authenticator، ويطلب من الهدف إدخاله على الموقع الأصلي `microsoft.com/devicelogin`. يقوم الضحية بتسجيل الدخول على صفحة Microsoft حقيقية ويمرر MFA بنفسه. يقوم الواجهة الخلفية لـ `saroula01` باستطلاع نقطة نهاية الرمز المميز ويستولي على الرمز لحظة إتمام الضحية للعملية. تسمية هذا بـ"تجاوز MFA" يغفل عن كيفية عمله؛ لا شيء يتم تجاوزه. صفحة الإغراء مصممة من قبل المهاجم، لكن رمز الجهاز وصفحة Microsoft حيث ينهي الضحية العملية حقيقيان، لذا فإن مطالبة MFA التي يرضيها الضحية حقيقية. مفاتيح المرور (passkeys) أو مفاتيح FIDO2 لا تساعد أيضاً، لأن الضحية يكمل المصادقة على بنية تحتية Microsoft حقيقية أثناء تفويض جلسة المهاجم. وثقت Microsoft هذه التقنية في فبراير 225 في حملة قيمتها بثقة متوسطة بأنها مرتبطة بروسيا، وقد انتشرت منذ ذلك الحين لتتجاوز الاستخدام المدعوم من الدولة. سجل فرع `saroula01` 218 حساباً مميزاً تم التقاطها في سجلات بوت Telegram للحملة عبر 12 دولة بين يونيو 2025 ويوليو 2026، وحوالي 94% منها كانت صناديق بريد مؤسسية. كلا نطاقي التصيد، `picis.net` و`romnor.ca`، كانا غير متصلين بالإنترنت وقت تحقق The Hacker News، على الرغم من أن الجدول الزمني للتقرير يظهر أن `picis.net` كان لا يزال يوفر نطاقات فرعية جديدة حتى مايو 2026. أفاد فريق Lexfo CTI أن النطاقات قد أصبحت غير متصلة بالإنترنت قبل اتخاذ أي إجراء من جانبهم، ويقرأون ذلك على أنه تدوير للبنية التحتية من قبل المشغلين أو انسحابهم بدلاً من إزالة منسقة. تم العثور على دلائل على التطوير بمساعدة الذكاء الاصطناعي (AI-assisted development) في جميع العمليات الثلاث، وإن تفاوتت قوتها. ترك `saroula01` التزامين في `git` شاركت نماذج Claude في تأليفهما. قام `mail-argenta` بتثبيت ملف `instructions.txt` يمثل نسخة حرفية من جلسة ترميز بالذكاء الاصطناعي. دليل codemado أرق: أحد نصوصه البرمجية ينسب الفضل إلى CyberNeurova، وهي واجهة برمجة تطبيقات (API) مدفوعة لإنشاء الأكواد "غير المراقبة". لم تحدد Lexfo كمية الكود التي أنتجتها النماذج، لكنها أشارت إلى أن علامات استخدام الذكاء الاصطناعي الواضحة كانت في الكود الرابط حول Evilginx، مثل السكربتات وphishlets، والتي بدا العديد منها كنواتج مباشرة للنماذج.السياق وتأثير السوق
ترتبط هذه العمليات الثلاث، بشكل فضفاض، بشيء أكبر. في يونيو 2026، وثقت SOCRadar نظاماً بيئياً للتصيد كخدمة (PhaaS) أطلق عليه اسم The Quarry، يديره مطور يسمى RockyBelling، وبحسب إحصائياتها، تم بيعه إلى ما يقرب من 200 مشغل. يظهر MaDoO Blaster يتم الترويج له داخل قناة Telegram الخاصة بـ The Quarry كأداة طرف ثالث، مما يشير إلى علاقة توريد وليس عضوية مباشرة. لم يتمكن التقرير من إثبات أي ارتباط مباشر لـ `mail-argenta` أو `saroula01` بـ The Quarry، حيث كانت أدواتهما متاحة على GitHub العام، ويمكن لأي شخص استخدامها. ما تكشفه هذه العمليات هو أن حاجز الدخول لشن حملة تصيد عاملة قد انخفض إلى ما يقرب من الصفر. ثلاثة مشغلين، لم يقم أي منهم ببناء الأطر التي استخدموها، أقاموا حملات ناجحة بناءً على مستودعات عامة، وأدوات تباع ببضع مئات من الدولارات، ونماذج ذكاء اصطناعي تساعد في الأجزاء المخصصة. هذا يمثل تحولاً نوعياً عن العمليات السابقة التي كانت تتطلب خبرة أكبر في تطوير الأدوات. السياق الأوسع يظهر أن تقنيات مثل إساءة استخدام تدفق رمز الجهاز، التي كانت في السابق مرتبطة بمجموعات مدعومة من الدول مثل Storm-2372 الروسية، قد انتشرت الآن على نطاق واسع في عمليات تجارية تستهدف مئات المؤسسات. هذا يعني أن الدفاعات التي كانت فعالة ضد جيل سابق من هجمات التصيد أصبحت غير كافية، وأن أدوات مثل Evilginx، المدعومة بالذكاء الاصطناعي، تزيد من سرعة وتكلفة اكتشاف الهجمات والدفاع ضدها.رؤية Glitch4Techs
الوضع الراهن يؤكد هشاشة استراتيجيات الأمن السيبراني التقليدية. إن وجود طريقتين ميكانيكيتين مختلفتين لتجاوز MFA، تتطلبان دفاعات متباينة، لا يمثل تحدياً تقنياً فحسب، بل فشلاً منهجياً في تصميم الأمن. الشركات التي استثمرت في المصادقة متعددة العوامل المقاومة للتصيد، مثل FIDO2 أو مفاتيح المرور، قد تكون آمنة ضد هجمات AiTM القائمة على Evilginx، لكنها تظل معرضة تماماً لإساءة استخدام تدفق رمز الجهاز. الحل، وهو سياسة الوصول الشرطي (Conditional Access) التي تحظر تدفق رمز الجهاز حيثما أمكن، ليس تلقائياً ولا يتم تضمينه ضمن نشر MFA. يجب على المؤسسات تحديد واستثناء الأجهزة التي تحتاج هذا التدفق يدوياً، ومن ثم تطبيق سياسة حظر شاملة واختبارها، وهي عملية تتطلب تخطيطاً وتنفيذاً دقيقين. بالتالي، فإن MFA، في غياب تطبيق دقيق لسياسات الوصول الشرطي، لا يوفر الأمن الشامل الموعود، بل يخلق وهماً بالأمان يترك البنية التحتية الحاسمة عرضة للاستغلال المنهجي.النشرة البريدية
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.
ملخّص أسبوعي تقرأه في ٥ دقائقبلا إزعاج — إلغاء الاشتراك بنقرة واحدة
مقالات قد تهمك

ذكاء اصطناعي
التمويل السيبراني لمنتصف 2026: تراجع بالربع الثاني وتخارج عبر الاندماج

ذكاء اصطناعي
نوس ريسيرش تحصد 75 مليون دولار وتقييم 1.5 مليار دولار لوكيل Hermes

ذكاء اصطناعي
PixVerse تجمع 439 مليون دولار: تقييم يتجاوز 2 مليار دولار في سوق الفيديو التوليدي

ذكاء اصطناعي