أدوات تصيّد جديدة تستهدف Microsoft 365 وتجاوز MFA: Jalisco وOmegaLord

ملخص التهديد وأهم الأساليب المستخدمة

أُطلقت أدوات تصيّد جديدة تستهدف Microsoft 365 وتستهدف تجاوز إجراءات المصادقة متعددة العوامل، وتضم مجموعتي الهجوم المسماة Jalisco وOmegaLord. وتتجه هذه الأساليب إلى حسابات سحابية وخدمات مثل SharePoint وتتيح للمهاجمين الوصول إلى بيانات مرتبطة بتلك الخدمات.
يشير التحليل إلى أن الهجمات تعتمد على تقنيات تصيّد عبر رمز الجهاز وطرق سرقة الاعتماد التقليدية، ما يمكّن المهاجمين من الدخول إلى حسابات Microsoft 365 وأجهزتها المسجَّلة وبيانات سحابية أخرى.

توظيف Jalisco لرمز الجهاز وتجاوز MFA
- يبدأ المهاجم بطلب تسجيل دخول من مايكروسوفت ويولّد رمز تفويض جهاز.
- توجه صفحة التصيد الضحية إلى صفحة تسجيل دخول Microsoft حقيقية وتطلب إدخال الرمز. عند إدخال الرمز، يتم تفويض جهاز يتحكم فيه المهاجم.
- نظرًا لاستكمال المصادقة على صفحة تسجيل دخول حقيقية، قد يبدو التصيد أقوى ثقة من صفحة تسجيل دخول زائفة تقليدية.
- عادةً ما تنتهي رموز OAuth بعد نحو 15 دقيقة، لكن jalisco يوفّر رمزاً جديداً عندما تفتح الضحية صفحة التصيد، ما يمدد صلاحية الرمز أثناء بدء عملية تسجيل الدخول.
تسجيل أجهزة خبيثة وتوثيقها عبر Entra ID
بعد اختراق الحساب، يمكن للمهاجمين تسجيل أجهزة غير مصرح بها عبر Microsoft Entra ID. رُصدت حالات لوجود ما يصل إلى خمس أجهزة خبيثة مرتبطة بحساب واحد، وقد تحمل أسماء تبدو غير مريبة كأنها تحتوي كلمات مثل “Microsoft” أو “Windows” لتسهيل مرورها عند المراجعة السريعة من قبل المستخدمين أو المدراء. يعزز تسجيل عدة أجهزة من قدرة المهاجمين على الاستمرار في الوصول حتى بعد سحب جلسة أو إزالة جهاز مشبوه.
سرقة البيانات من حسابات Microsoft 365
وبمجرد الوصول، يمكن للمهاجمين البحث في SharePoint وأنظمة SaaS أخرى عن معلومات حساسة مثل البيانات الشخصية للموظفين والعملاء، والمستندات المالية، والبريد الداخلي، وخطط العمل والملفات السرية. قد يُطالب attackers لاحقاً بمبالغ مالية أو يهددون بنشر أو بيع البيانات المسروقة.
OmegaLord ونموذج التصيّد التقليدي مع تعديل MFA
يتبع OmegaLord نموذج تصيّد تقليدي مع تكييف يركّز على حسابات محمية بـ MFA، حيث يعرض صفحة تسجيل دخول لقارئ PDF مزيفة تجمع عناوين بريد إلكتروني وكلمات مرور وأرقام هواتف. جمع أرقام الهواتف يمنح المهاجمين خيارات إضافية بعد سرقة بيانات الدخول، مثل الهندسة الاجتماعية أو اعتراضطلبات التوثيق أو الضغط على المستخدم للموافقة على إشعارات MFA.
إرشادات للمنظمات للحد من التهديدات
- خفض حد تسجيل الأجهزة من 50 إلى جهاز واحد أو اثنين حيثما أمكن، ومراجعة تسجيلات الأجهزة والتطبيقات لإزالة ما ليس ضرورياً.
- حظر مصادقة رمز الجهاز عندما لا تكون مطلوبة وتقييد منح OAuth Device Authorization في أنظمة مثل Okta.
- مراجعة تسجيلات الأجهزة والتطبيقات والبحث عن أنشطة مريبة في OAuth وتحميلات SharePoint والوصول من مواقع غير مألوفة، وإلغاء جلسات مشبوهة وإزالة الأجهزة الخبيثة وإعادة ضبط الاعتماد ومراجعة نشاط السحابة بعد الاختراق.
- التدقيق المستمر في تسجيلات الأجهزة وأنشطة OAuth وتحرّي الدخول من مواقع غير مألوفة وإعادة التحقق من الجلسات والهوية بعد وقوع خرق.
ملاحظات حول تطوّر هجمات OAuth
لا يعد هذا أول استخدام لهياكل OAuth في هجمات التصيد، فُهمت تحذيرات سابقة من استغلال مسارات OAuth للوصول إلى حسابات، كما وردت تحذيرات عن استغلال مفاتيح Entra وتوظيف منصات أخرى في أساليب مشابهة، ومِن أمثلة ذلك استخدام تقنيات تعتمد على الاعتماد عبر أكواد في منصات مختلفة للوصول إلى حسابات Microsoft 365، إضافة إلى أن جهات فاعلة أُخرى استُخدمت وصولاً مسروقاً لجمع بيانات من بيئات SharePoint.





