حملة من ثلاث موجات مختبئة على مرأى من الجميع
في أواخر مارس 2026، نشرت باحثون في استخبارات التهديدات نتائجها حول واحدة من أكثر حملات اختراق بيانات الاعتماد السحابية منهجية هذا العام. نفذ فاعل تهديد مرتبط بإيران ثلاث موجات هجومية متميزة — في 3 و13 و23 مارس — مستهدفًا بيئات Microsoft 365 في الشرق الأوسط وأوروبا والولايات المتحدة.
كان نطاق الحملة كبيرًا: استُهدفت أكثر من 300 منظمة في المنطقة الرئيسية وحدها، مع نشاط إضافي رُصد ضد عدد محدود من الأهداف في أوروبا والمملكة المتحدة والولايات المتحدة والمملكة العربية السعودية. تشمل القطاعات المستهدفة كيانات حكومية وبلديات وشركات تكنولوجيا ومشغلي نقل ومنظمات في قطاع الطاقة وشركات القطاع الخاص.
ما يجعل هذه الحملة لافتة ليس نطاقها فحسب بل تطورها التشغيلي. اتبع المهاجمون دورة منضبطة من ثلاث مراحل — مسح، اختراق، استخراج — تعظّم حصاد بيانات الاعتماد مع تقليل الكشف إلى أدنى حد.
تشريح الهجوم: ثلاث مراحل
المرحلة الأولى: المسح عبر Tor
أجرى المهاجمون عمليات مسح مكثفة لرش كلمات المرور ضد مئات المنظمات في وقت واحد. بدلاً من قصف حساب واحد بكلمات مرور متعددة (مما يفعّل حماية القفل)، يجرب رش كلمات المرور عددًا صغيرًا من كلمات المرور الشائعة ضد عدد كبير من الحسابات — مع البقاء تحت العتبة التي تفعّل التنبيهات الأمنية.
لتجنب الحظر القائم على عناوين IP، وجّه المهاجمون كل حركة المسح عبر عقد خروج Tor، مع تغيير العقد بشكل متكرر لمنع الكشف القائم على الأنماط. استخدمت حركة المسح سلسلة User-Agent متنكرة كـ Internet Explorer 10 — متصفح لم يعد مدعومًا بشكل نشط منذ سنوات، مما يجعله إشارة شاذة لكنها غالبًا ما تُتجاهل في سجلات المؤسسات.
المرحلة الثانية: الاختراق عبر VPN تجارية
بمجرد تحديد بيانات الاعتماد الصالحة، غيّر المهاجمون تكتيكاتهم بالكامل. بدلاً من الاستمرار في العمل عبر Tor، أجروا عملية تسجيل الدخول الكاملة من خدمات VPN تجارية — تحديدًا Windscribe (نطاق IP 185.191.204.X) وNordVPN (نطاق IP 169.150.227.X) — مع نقاط خروج محددة جغرافيًا لتتطابق مع المناطق الجغرافية المتوقعة للمنظمات المستهدفة.
صُمم هذا الانتحال الجغرافي لتجاوز سياسات الوصول المشروط التي تستخدمها العديد من المنظمات لتقييد تسجيلات الدخول على المواقع المعتمدة. مهاجم يسجل الدخول من خادم VPN محدد جغرافيًا في نفس بلد المنظمة المستهدفة لن يفعّل تنبيهات الشذوذ الجغرافي.
المرحلة الثالثة: الاستخراج
مع إنشاء جلسات صالحة، وصل المهاجمون إلى بيانات حساسة بما في ذلك محتوى البريد الإلكتروني الشخصي. يشير تحليل الباحثين إلى أن مرحلة الاستخراج كانت مستهدفة وليست عشوائية — يبدو أن المهاجمين أعطوا الأولوية لحسابات وأنواع بيانات محددة بدلاً من تحميل كل شيء متاح بشكل جماعي.
الإسناد وملف فاعل التهديد
يربط تحليل الباحثين الحملة بفاعل تهديد مرتبط بإيران يتشابه مع Gray Sandstorm، مجموعة تهديد تتتبعها Microsoft. تشمل المؤشرات الرئيسية:
- استخدام أدوات red team لتنفيذ رش كلمات المرور عبر عقد خروج Tor، بما يتسق مع التكتيكات المعروفة لـ Gray Sandstorm.
- عقد VPN تجارية مستضافة على AS35758 (Rachamim Aviel Twito)، نظام مستقل سبق ربطه بعمليات إيرانية في الشرق الأوسط.
- إيقاع تشغيلي — يشير الفاصل الزمني البالغ 10 أيام بين موجات الهجوم إلى حملة منظمة بمراحل تخطيط وتحليل بين كل موجة.
تُقيّم الحملة على أنها لا تزال جارية اعتبارًا من أوائل أبريل 2026.
إعلان
لماذا لا يزال رش كلمات المرور فعالاً
يبقى رش كلمات المرور فعالاً رغم كونه من أقدم تقنيات هجوم بيانات الاعتماد لأنه يستغل توترًا جوهريًا في أمن المؤسسات: تحتاج المنظمات إلى أن يتمكن موظفوها من تسجيل الدخول.
تحدد المنظمات الحديثة عادة عتبات قفل الحسابات عند 5-10 محاولات فاشلة خلال نافذة زمنية قصيرة. يبقى رش كلمات المرور تحت هذه العتبة بمحاولة كلمة مرور واحدة أو اثنتين فقط لكل حساب في كل موجة. ضد مجموعة مستهدفة من أكثر من 300 منظمة بآلاف الحسابات لكل منها، حتى معدل نجاح أقل من 1% ينتج مئات بيانات الاعتماد الصالحة.
الانتقال إلى الهوية القائمة على السحابة — خاصة Microsoft 365 الذي يوحد البريد الإلكتروني وتخزين الملفات والتعاون وتطبيقات الأعمال خلف بيانات اعتماد واحدة — يعني أن هجوم رش ناجح يمنح الوصول إلى أكثر بكثير من البريد الإلكتروني. يمكن لحساب M365 مخترق الوصول إلى مستندات SharePoint ومحادثات Teams وملفات OneDrive وربما واجهات الإدارة.
المصادقة متعددة العوامل (MFA) هي الدفاع الأساسي ضد الهجمات القائمة على بيانات الاعتماد، لكن التبني لا يزال متفاوتًا. وفقًا لتقارير Microsoft نفسها، لا تزال نسبة كبيرة من مستأجري M365 المؤسسية تملك حسابات بدون MFA مفعّلة، خاصة حسابات الخدمة وصناديق البريد المشتركة والتطبيقات القديمة التي لا تدعم بروتوكولات المصادقة الحديثة.
التدابير الدفاعية
يوصي الباحثون الأمنيون وMicrosoft بعدة إجراءات مضادة:
راقب سجلات تسجيل الدخول بحثًا عن مؤشرات الرش. ابحث عن تجمعات من محاولات المصادقة الفاشلة عبر حسابات متعددة من نفس نطاقات IP، خاصة عقد خروج Tor. سلسلة User-Agent لـ IE10 هي إشارة إضافية تستحق المراقبة.
طبّق ضوابط الوصول المشروط بصرامة. قيّد المصادقة على المواقع الجغرافية المعتمدة واشترط فحوصات امتثال الأجهزة. بشكل حاسم، تأكد من أن تسجيلات الدخول عبر VPN تخضع لتحقق إضافي بدلاً من معاملتها كمعادلة للمصادقة المحلية.
فرض MFA بشكل شامل. هذا يعني كل حساب — بما في ذلك حسابات الخدمة وصناديق البريد المشتركة وحسابات الطوارئ. يجب أن تشترط سياسات الوصول المشروط MFA لجميع تسجيلات الدخول من أجهزة أو مواقع غير معروفة.
فعّل تسجيل تدقيق شامل. يتطلب التحقيق بعد الاختراق سجلات مفصلة لأحداث المصادقة والوصول إلى صناديق البريد وتنزيلات الملفات والإجراءات الإدارية. العديد من المنظمات لديها التسجيل معطّل أو مضبوط على حد أدنى من الاحتفاظ، مما يحد من قدرتها على تقييم الأضرار بعد الاختراق.
احظر بروتوكولات المصادقة القديمة. البروتوكولات القديمة مثل POP وIMAP وSMTP AUTH لا تدعم MFA وتُستهدف بشكل متكرر في هجمات بيانات الاعتماد. تعطيل هذه البروتوكولات عبر المستأجر بأكمله يزيل سطح هجوم شائع.
الصورة الأوسع: الهوية السحابية تحت الحصار
هذه الحملة جزء من نمط أوسع. تستهدف الجهات الفاعلة المدعومة من الدول بشكل متزايد بنية الهوية السحابية — خاصة Microsoft 365 وAzure AD (الآن Entra ID) — لأنها تمثل أكبر تركيز لبيانات اعتماد وبيانات المؤسسات في العالم.
توضح الحملة المرتبطة بإيران أن الفاعلين المتطورين لا يحتاجون إلى ثغرات جديدة أو برمجيات خبيثة متقدمة لاختراق بيئات المؤسسات. يحتاجون إلى الصبر والأتمتة ومجموعة أهداف حيث تمتلك نسبة صغيرة من الحسابات حتمًا كلمات مرور ضعيفة وبدون MFA. الأدوات التي يستخدمونها — Tor وVPN تجارية وبرامج نصية للرش — متاحة على نطاق واسع وغير مكلفة.
بالنسبة لفرق الأمن، الدرس واضح: الهوية السحابية بنية تحتية حيوية، والدفاع عنها يتطلب نفس الصرامة المطبقة على محيطات الشبكة وأمن نقاط النهاية. قد يكون رش كلمات المرور تقنية قديمة، لكن في عصر السحابة، يبقى فعالاً بشكل مدمر.
الأسئلة الشائعة
لماذا لا يزال رش كلمات المرور فعالاً ضد المنظمات الحديثة في 2026؟
يبقى رش كلمات المرور تحت عتبات القفل بمحاولة كلمة مرور أو اثنتين شائعتين فقط لكل حساب عبر آلاف الحسابات في وقت واحد. حتى مع معدل نجاح أقل من 1%، يُنتج رش أكثر من 300 منظمة مئات بيانات الاعتماد الصالحة. تستغل التقنية الفجوة بين سياسة الأمن وتطبيقها — لا تزال العديد من المنظمات تملك حسابات بكلمات مرور ضعيفة وبدون MFA.
كيف تجاوز المهاجمون ضوابط الوصول المشروط الجغرافية؟
بعد تحديد بيانات الاعتماد الصالحة عبر مسح موجّه بـ Tor، تحول المهاجمون إلى خدمات VPN تجارية (Windscribe وNordVPN) بنقاط خروج محددة جغرافيًا لتتطابق مع بلدان المنظمات المستهدفة. هذا جعل تسجيلات الدخول تبدو كأنها صادرة من مواقع متوقعة، متجاوزة كشف الشذوذ الجغرافي الذي تعتمد عليه العديد من المنظمات كدفاع أساسي.
ما هو الدفاع الأكثر فعالية ضد هذا النوع من الحملات؟
المصادقة متعددة العوامل (MFA) الشاملة على كل حساب — بما في ذلك حسابات الخدمة وصناديق البريد المشتركة وحسابات الطوارئ. تجعل MFA كلمات المرور المسروقة عديمة الفائدة لأن المهاجمين لا يستطيعون إكمال عامل المصادقة الثاني. يجب على المنظمات أيضًا تعطيل البروتوكولات القديمة (POP وIMAP وSMTP AUTH) التي لا تدعم MFA.
المصادر والقراءات الإضافية
- Iran-Linked Password-Spraying Campaign Targets 300+ Microsoft 365 Organizations — The Hacker News
- Iran targets M365 accounts with password-spraying attacks — The Register
- Iran-Linked Hackers Launch Password Spray Campaign Against Microsoft 365 Tenants — Cybersecurity News
- Iranian Password Spraying Campaign Targets Microsoft 365: Detailed Technical Analysis — Security Affairs
