تقنى

منصة Forg365 للتصيد تستهدف حسابات Microsoft 365 عبر الذكاء الاصطناعي وإساءة استخدام رمز الجهاز

ظهرت منصة Forg365 التصيدية كخدمة تهدف إلى سرقة حسابات Microsoft 365 عبر عدة أساليب معتمدة، من بينها التصيد عبر وسيط يقترب من بنية المصادقة (AiTM)، وإساءة استخدام رمز الجهاز، وبريد إلكتروني مولد بالذكاء الاصطناعي، إضافة إلى أدوات تُستخدم بعد الاختراق. ظهرت المنصة بعد فترة وجيزة من كشف منصة ARToken التصيدية، مع إشارات إلى تشابهات مبدئية مع منصات أخرى لكن دون تأكيد ارتباط مباشر.

Forg365 Phishing Platform Targets Microsoft 365 Accounts With AI and Device-Code Abuse

طرق الهجوم المستخدمة في Forg365

  • تصيد من نوع adversary-in-the-middle (AiTM) يجري عبر وسيط بين الضحية وبنية المصادقة.
  • إساءة استخدام عملية المصادقة برمز الجهاز من مايكروسوفت.
  • رسائل بريد إلكتروني مولَّدة بالذكاء الاصطناعي مبرمجة كجزء من حملة التصيد.
  • أدوات تُستخدم بعد الوصول إلى الحساب المخترَق لإبقاء السيطرة عليه.
Forg365 microsoft 365
Image credit: Microsoft

تُنفَّذ الحملات من خلال الاعتماد على خدمات سحابية موثوقة وتخفي رسائل التصيد كوثائق أعمال موثوقة. رُصد أن الحملات استُخدمت خدمات Amazon SES لإرسال البريد، مع موارد تتبُّع مُستضافة على SendGrid. كما تستخدم Forg365 بنية Cloudflare Pages لصفحات الهبوط وبنية Gophish لإدارة الحملات. هذا المزج بين خدمات شرعية وبُنى خبيثة يساعد في اندماج رسائل التصيد ضمن حركة العمل العادية بشكل أكثر فاعلية.

واجهة المشغلين والوظائف المتاحة

توفر Forg365 لوحة تحكّم مركزية تتيح إنشاء الحملات وإدارتها، مع إمكانية ضبط روابط التصيد وواجهات OAuth وملفات SMTP والرموز والبيانات المسروقة من لوحة التحكم. كما تتيح لوحة التحكم أدوات لإدارة ملفات تعريف الارتباط وتنفيذ إجراءات ما بعد الاختراق، وتضم المحتوى المولَّد بالذكاء الاصطناعي مباشرة داخلها ليتم تعديل الرسائل دون الاعتماد على أدوات خارجية.

آليات التصيد والتقنيات المصاحبة

من أبرز سمات Forg365 أنها تستغل نموذج التوثيق عبر رمز الجهاز، حيث تُظهر صفحة تحقق على نمط مايكروسوفت وتطلب من الضحية إدخال رمز الجهاز، ثم يوافق الضحية على وصول الجهاز الذي يتحكم فيه المهاجم من خلال تدفق OAuth المخصص لرمز الجهاز. هذه الطريقة لا تشترط بالضرورة سرقة كلمة مرور الضحية مباشرة. كما تدعم المنصة أساليب AiTM التي تلتقط كوكيز جلسة المصادقة، ما يتيح تجاوز بعضطبقات المصادقة متعددة العوامل للوصول إلى حساب Microsoft 365 دون إعادة تسجيل الدخول كاملة.

إضافة إلى ذلك يوجد امتداد ForgCookie، وهو متاح على متصفحات Chrome وEdge وBrave، يعمل مع منصة Forg365 لاسترداد معلومات الحساب من خلفية المنصة وتحديث ملفات تعريف ارتباط الدخول الأحادي SSO. كما يعمل الامتداد على مسح الكوكيز الموجودة وتفعيل عملية OAuthSilent للحصول على كوكيز أحدث، ما يساعد على الحفاظ على الوصول دون إعادة المصادقة من المستخدم.

مراقبة البريد والتدابير المضادة

تضم Forg365 أيضاً ميزة مراقبة صناديب البريد المخترَق، حيث يمكنها فحص البريد الوارد بحثاً عن كلمات مفتاحية محددة وتنبيه المشغّلين عند وجود رسائل مطابقة. كما تحتوي المنصة على نظام مضاد للبوت يستهدف الباحثين وأدوات الأمن، ويشمل ذلك تحويلات مُشفَّرة، فخاخ للمصححات، فحص بيئات sandbox، كشف البوتات، ورمزاً برمجيّاً متعدد الأشكال. وعند اكتشاف استخدام VPN، قد يعثر الزائر على محتوى غير ذي صلة بالهدف الحقيقي للحملة.

كيف يمكن للمؤسسات تقليل مخاطر Forg365

  • تعطيل أو تقييد مصادقة رمز الجهاز في مايكروسوفت ما لم تكن هناك حاجة فعلية حقيقية.
  • مراقبة سجلات Microsoft Entra لأحداث دخول غير اعتيادية على رمز الجهاز، وقبولات OAuth غير متوقعة، وقواعد البريد، وتسجيلات أجهزة جديدة، ونشاط Microsoft Authentication Broker.
  • إذا بدا أن حساباً ما قد تم اختراقه، يجب سحب جميع الجلسات والرموز النشطة فوراً وإعادة تعيين بيانات الاعتماد ومراجعة أساليب المصادقة والتأكد من صلاحيات OAuth المتأثرة.

تشير المصادر إلى أن Forg365 ليست الوحيدة التي تستهدف مستخدِمي Microsoft 365، وهناك حملات أخرى استهدفت مفاتيح Entra، فيما أشارت مايكروسوفت إلى أهمية عدم تأجيل تحديثات Windows وتوسيع استراتيجيتها الأمنية المعتمدة على الذكاء الاصطناعي.

خلفية وسياق إضافي

أُشير إلى ظهور Forg365 عقب الكشف عن منصة ARToken، كما رُصدت تشابهات مع منصات مثل Kali365 وSneaky2FA وفق فريق بحثي، وإن لم يُثبت وجود صلة مباشرة بينهم حتى الآن. وفي سياق متصل، وُصِفت حملات Forg365 بأنها تستخدم خدمات بريد موثوقة ومكونات بنية مخابراتية متطورة لدمج التصيد ضمن مسارات الاعمال العادية.

ملاحظات عامة

هذه التقارير تبرز أن التصيد عبر AI وطرق مثل AiTM وريم موفِّقات رمزية الجهاز تشكّل تهديدات فعالة لحسابات Microsoft 365، وتؤكد أهمية إجراءات الحماية المباشرة من قبل المؤسسات وتحديثات النظام وتبني سياسات أمان أكثر صرامة.

زر الذهاب إلى الأعلى