رافي لاكشمانان10 يوليو 2026أمن المؤسسة / المصادقة

يستهدف أحد جهات التهديد المؤسسات التي تغطي قطاعات متعددة بطلبات أمان وهمية تعتمد على الصوت والتي تحث مستخدمي Microsoft 365 على تسجيل مفتاح مرور Entra جديد بهدف تنفيذ هجمات ابتزاز البيانات.

ممثل التهديد، الذي تتبعه أوكتا تحت اللقب O-UNC-066، قامت بنشر مجموعة أدوات تصيد يتم التحكم فيها بواسطة اللوحة وقادرة على استهداف عملية تسجيل مفتاح المرور. وركز النشاط على قطاعات الأغذية والمشروبات والتكنولوجيا والرعاية الصحية والسيارات والبناء والطيران.

وقال حسام الدين بورجيبة، الباحث في أوكتا: “يقوم ممثل التهديد بتسجيل النطاقات التي تتضمن كلمة مرور كجزء من مخطط التصيد الاحتيالي الصوتي”. “ثم يتصل ممثل التهديد بالمستخدمين المستهدفين عبر الهاتف في محاولة لإقناعهم بأنهم بحاجة إلى تسجيل مفتاح مرور جديد.”

يتم بعد ذلك توجيه المستخدمين إلى مجموعة تصيد احتيالي مماثلة لعملية تسجيل مفتاح المرور الخاص بـ Microsoft، مما يعطي الانطباع بأنهم يضيفون مفتاح مرور مع Microsoft، بينما في الواقع، يقوم جهة التهديد بتسجيل مفتاح المرور الخاص به ضد حساب Microsoft الخاص بهم، مما يمنحهم وصولاً غير مصرح به.

يتزامن التطوير مع سماح Microsoft للمسؤولين بتكوين حملات التسجيل لدفع المستخدمين إلى تسجيل مفاتيح المرور أثناء تسجيل الدخول في محاولة لمساعدة المؤسسات على تعزيز اعتماد مفاتيح المرور على نطاق واسع. بمعنى آخر، تسيء الجهات الفاعلة في مجال التهديد استخدام عملية ترقية الأمان المقاومة للتصيد الاحتيالي كإغراء لتسجيل مفاتيح المرور الخاصة بها في حسابات الضحايا وتسهيل أنشطة المتابعة.

على عكس الصفحات المقصودة للخصم في الوسط (AitM) السائدة في حملات التصيد الاحتيالي المصممة لسرقة بيانات الاعتماد ورموز المصادقة متعددة العوامل (MFA)، فإن مجموعة التصيد الاحتيالي المستخدمة في هذه الهجمات عبارة عن لوحة PHP يتحكم فيها المشغل حيث يتم توجيه الضحية خلال عملية تسجيل مفتاح المرور في الوقت الفعلي تقريبًا.

وقالت شركة أمن الهوية: “يمكن للمشغل استخدام المجموعة لتكييف تجربة المستخدم مع متطلبات MFA لكل ضحية (TOTP، إشعار الدفع مع مطابقة الأرقام، SMS OTP) أثناء الجلسة”. “يمكن للمتصل التحكم في صفحات التصيد والإشعارات التي يراها المستخدم المستهدف وضبطها في الوقت الفعلي.”

يُشتبه في أن جهة التهديد تستفيد من المجموعة للاستيلاء على حساب الضحية وخداع المستخدم للموافقة على تسجيل مفتاح المرور الذي بدأه المهاجم. لا يوجد ما يشير في هذه المرحلة إلى أن المجموعة تعيد توجيه المستخدمين إلى موفري هوية الطرف الثالث مثل Okta.

التسلسل الكامل للإجراءات أدناه –

  • تعرض الصفحة الأولى من مجموعة التصيد الاحتيالي (/gate) رمز تحميل الصفحة بينما تقوم مجموعة التصيد الاحتيالي بإجراء فحوصات مكافحة التحليل في الخلفية.
  • الصفحة الثانية (/ تحديد) تطلب اسم مستخدم.
  • الصفحة التالية (/ كلمة المرور) تتحدى المستخدم للحصول على كلمة مرور.
  • يتم إرسال بيانات الاعتماد المجمعة في طلب POST إلى لوحة التشغيل على “/backend.php.”
  • يقوم مشغل مجموعة التصيد الاحتيالي (الذي يختلف على الأرجح عن الشخص الذي يتصل بالضحية) بإدخال بيانات الاعتماد المسروقة في صفحة تسجيل الدخول الشرعية إلى Microsoft للمستأجر المستهدف.
  • ترى الضحية صفحة “/ معالجة” التي تخدم شاشة تحميل أخرى بينما تنتظر تعليمات المشغل بناءً على تحديات MFA التي تمت ملاحظتها والمقدمة لهم في التدفق الشرعي.
  • يتم تقديم الصفحة التالية من مجموعة أدوات التصيد الاحتيالي للمستخدم: “/submit-otp” لتحدي كلمة المرور لمرة واحدة (OTP) المستند إلى الرسائل القصيرة، أو “/submit-authenticator” لتحدي OTP المستند إلى الوقت، أو “/approve-authenticator” لتحدي MFA الدفعي.
  • يتم إرسال OTP الذي تم التقاطه في طلب POST إلى “/backend.php”.

في هذه المرحلة، تم خداع الضحية عبر الهاتف للموافقة على وصول المهاجم إلى حساب Microsoft 365 الخاص به. تبدأ سلسلة الهجوم بعد ذلك مجموعة أخرى من الإجراءات التي تركز على ذريعة مفتاح المرور –

  • تتم إعادة توجيه الضحية إلى صفحة “/passkey/register”، التي توجه المستخدم لإنشاء مفتاح مرور.
  • تطالب صفحة “/passkey” التي تحمل العلامة التجارية Microsoft المستخدم بحفظ مفتاح الاسترداد الخاص به لتأكيد مفتاح المرور الخاص به.
  • تطلب صفحة “/passkey/check” من المستخدم التحقق من الكلمة الأخيرة المستخدمة في العبارة الأولية.
  • تؤكد صفحة “/done” نجاح تسجيل مفتاح المرور.

يحتوي مفتاح الاسترداد على سلسلة من 12 كلمة تشبه عبارة الاسترداد السرية أو العبارة التذكيرية المرتبطة عادةً بمحافظ العملات المشفرة. تم تقييم هذه الخطوة على أنها آلية إلهاء لإبقاء الضحية مشغولاً بالمهمة، أثناء قيامه بتسجيل مفتاح المرور الخاص به في حساب Microsoft.

وأوضح أوكتا: “يبدو أن مجموعة التصيد الاحتيالي تستغل عدم إلمام المستخدم بمصادقة مفتاح المرور”. “في حفل تسجيل مفتاح المرور الحقيقي، قد يتوقع المستخدم وجود مربع حوار في النظام لتسجيل مفتاح مرور على أجهزته. ويبدو أن صفحات مفتاح المرور في مجموعة التصيد الاحتيالي هذه تحاكي هذه العملية دون تسجيل مفتاح مرور.”

وأشار أوكتا إلى أن جهة التهديد المرتبطة بـ O-UNC-066 كانت تدير موقعًا لتسريب البيانات منذ أبريل 2026 تحت اسم Pink. تقوم وحدة Palo Alto Networks 42 بتتبع هذه المجموعة باسم CL-CRI-1147، واصفة إياها بأنها تابعة لمجموعة جرائم إلكترونية لا مركزية تُعرف باسم The Com، والتي تعد Scattered Spider وShinyHunters وLAPSUS$ جزءًا منها.

شاركها.
اترك تعليقاً