كشفت تقارير أمنية عن حملة تصيد واسعة استهدفت حسابات Microsoft 365 في مئات المؤسسات، عبر استغلال تدفق المصادقة الخاص بالأجهزة للحصول على رموز وصول صالحة، دون الحاجة لسرقة كلمات المرور مباشرة أو تجاوز آليات المصادقة متعددة العوامل (MFA) بالأسلوب التقليدي.
امتدت الحملة لفترة طويلة وأصابت أكثر من 500 مؤسسة، ما يشير إلى اتساع نطاق استخدام المنصات الشرعية والبنى التحتية السحابية الموثوقة لتشغيل هجمات هوية يصعب رصدها بالاعتماد على مؤشرات التصيد المعتادة وحدها. وتتصل هذه الحملة بما وثقته Huntress في مارس 2026 حول استغلال منصة Railway، وهي منصة خدمات سحابية للتطوير والنشر، كبنية لتشغيل صفحات وحلقات حصاد رموز الدخول. وأوضحت الشركة أن النشاط استهدف أكثر من 340 مؤسسة في الولايات المتحدة وكندا وأستراليا ونيوزيلندا وألمانيا، قبل أن تنسبه لاحقاً إلى منصة تصيد كخدمة تُعرف باسم EvilTokens.
وتقوم الآلية الأساسية للهجوم على خداع المستخدم لإتمام عملية تسجيل دخول تبدو شرعية عبر تدفق OAuth المخصص للأجهزة، مثل أجهزة التلفزيون الذكية والطابعات. وعند إتمام العملية، يحصل المهاجم على رموز وصول تمنحه دخولاً مستمراً إلى تطبيقات Microsoft مثل البريد و Teams و SharePoint و OneDrive، وقد تبقى هذه الرموز فعالة حتى بعد إعادة تعيين كلمة المرور ما لم تُلغَ الجلسات والرموز المرتبطة بها.
وفي تحليل نشرته Microsoft في 6 أبريل 2026، أشارت إلى أن هذه الموجة تمثل انتقالاً من هجمات رموز الأجهزة المحدودة والنصوص اليدوية إلى بنية مدفوعة بالأتمتة والتوليد الديناميكي للرموز، ما يساعد على تجاوز نافذة انتهاء صلاحية رمز الجهاز التي تبلغ عادة 15 دقيقة. وربطت Microsoft هذا النشاط بظهور EvilTokens كأداة تصيد كخدمة تسهم في توسيع نطاق إساءة استخدام هذا النمط من المصادقة.
وتكمن خطورة الحملة في عدم اعتمادها على رابط تصيد واحد أو قالب بريد متكرر؛ حيث رصدت Huntress تنوعاً كبيراً في الرسائل والنطاقات، شمل دعوات لعروض إنشاء، وانتحال صفحة DocuSign، وتنبيهات بريد صوتي، وإساءة استخدام Microsoft Forms. وترجح الشركة أن الأتمتة أو أدوات الذكاء الاصطناعي ساعدت في إنتاج رسائل مخصصة بما يكفي لتفادي مرشحات الحماية التي تعتمد على التشابه أو التكرار.
يضع هذا النمط فرق الأمن أمام تحدٍ عملي؛ فحظر كل خدمة سحابية مستغلة قد يعطل أعمالاً مشروعة، بينما يسمح الاعتماد على السمعة وحدها بمرور نشاط ضار عبر منصات معروفة. لذا، يصبح التركيز على طبقة الهوية وسلوك تسجيل الدخول ضرورياً، بما في ذلك مراقبة تدفقات رموز الأجهزة، وتعطيل أو تقييد المصادقة بالأجهزة عند عدم الحاجة، وفرض ضوابط وصول مشروطة، وإلغاء الرموز والجلسات عند الاشتباه في الاختراق.
كما تؤكد الحملة أن المصادقة متعددة العوامل (MFA) لم تعد كافية وحدها عند استهداف تدفقات مصادقة شرعية؛ إذ لا يحتاج المهاجمون دائماً إلى كلمة مرور إذا تمكنوا من دفع المستخدم لتفويض جلسة يسيطرون عليها. ويجعل ذلك من مفاتيح الأمان المقاومة للتصيد، ومراجعة التطبيقات المصرح لها، وربط التنبيهات بسلوك المستخدم والموقع والبنية التحتية، عناصر أساسية في تقليل أثر هذه الهجمات.
