حملة رش كلمات المرور الإيرانية: استهداف أكثر من 300 منظمة عبر Microsoft 365

Q: ما هو الدفاع الأكثر فعالية ضد هذا النوع من الحملات؟

المصادقة متعددة العوامل (MFA) الشاملة على كل حساب -- بما في ذلك حسابات الخدمة وصناديق البريد المشتركة وحسابات الطوارئ. تجعل MFA كلمات المرور المسروقة عديمة الفائدة لأن المهاجمين لا يستطيعون إكمال عامل المصادقة الثاني. يجب على المنظمات أيضًا تعطيل البروتوكولات القديمة (POP وIMAP وSMTP AUTH) التي لا تدعم MFA.

نُشر في أبريل 9, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

كشف باحثون في استخبارات التهديدات عن حملة رش كلمات مرور من ثلاث موجات مرتبطة بإيران استهدفت أكثر من 300 منظمة في القطاعات الحكومية والطاقوية والتقنية خلال مارس 2026. استخدم المهاجمون عقد خروج Tor للمسح وشبكات VPN تجارية محددة جغرافيًا لتتوافق مع بلدان الأهداف لتجاوز ضوابط الوصول المشروط على مستأجري Microsoft 365.

خلاصة: نفّذ تدقيق تغطية MFA على كل حساب Microsoft 365 هذا الأسبوع — حسابات الخدمة وصناديق البريد المشتركة بدون MFA هي نقاط الدخول الأكثر احتمالاً.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالية
▾

تتبنى الوزارات الجزائرية وشركات الطاقة (Sonatrach وSonelgaz) والمؤسسات Microsoft 365 بسرعة. نفس تقنيات رش كلمات المرور المستخدمة ضد أهداف الشرق الأوسط تنطبق مباشرة على مستأجري M365 الجزائريين.

البنية التحتية جاهزة؟
جزئيًا
▾

العديد من المنظمات الجزائرية تستخدم Microsoft 365 لكنها تفتقر إلى سياسات وصول مشروط شاملة وتطبيق شامل لـ MFA ومراقبة SIEM مركزية لازمة لكشف ومنع حملات الرش.

المهارات متوفرة؟
جزئيًا
▾

تمتلك الجزائر مواهب متنامية في الأمن السيبراني لكن خبرة محدودة متخصصة في أمن الهوية السحابية. قليل من فرق SOC الجزائرية لديها خبرة في التحقيق في أنماط هجوم خاصة بـ M365 مثل الرش عبر Tor مع متابعة جغرافية عبر VPN.

الجدول الزمني للعمل
فوري
▾

تُقيّم هذه الحملة على أنها جارية. يجب على المنظمات الجزائرية التي تستخدم Microsoft 365 تدقيق تغطية MFA ومراجعة سياسات الوصول المشروط وتفعيل مراقبة سجلات تسجيل الدخول خلال الثلاثين يومًا القادمة.

أصحاب المصلحة الرئيسيون
محللو SOC، مديرو Microsoft 365، مسؤولو أمن المعلومات في الجهات الحكومية وشركات الطاقة، مدراء أمن تكنولوجيا المعلومات في البنوك والاتصالات.

نوع القرار
تكتيكي
▾

يمكن تنفيذ تدابير دفاعية مباشرة وعملية فورًا دون تخطيط استراتيجي أو موافقة على الميزانية.

خلاصة سريعة: تواجه المنظمات الجزائرية على Microsoft 365 نفس سطح الهجوم المُستغل في هذه الحملة. الأولوية الفورية هي تدقيق كل مستأجر M365 بحثًا عن حسابات بدون MFA — خاصة حسابات الخدمة وصناديق البريد المشتركة — وتطبيق سياسات وصول مشروط تُنبه على تسجيلات الدخول عبر VPN من مزودين غير متوقعين مثل Windscribe وNordVPN.

حملة من ثلاث موجات مختبئة على مرأى من الجميع

في أواخر مارس 2026، نشرت باحثون في استخبارات التهديدات نتائجها حول واحدة من أكثر حملات اختراق بيانات الاعتماد السحابية منهجية هذا العام. نفذ فاعل تهديد مرتبط بإيران ثلاث موجات هجومية متميزة — في 3 و13 و23 مارس — مستهدفًا بيئات Microsoft 365 في الشرق الأوسط وأوروبا والولايات المتحدة.

كان نطاق الحملة كبيرًا: استُهدفت أكثر من 300 منظمة في المنطقة الرئيسية وحدها، مع نشاط إضافي رُصد ضد عدد محدود من الأهداف في أوروبا والمملكة المتحدة والولايات المتحدة والمملكة العربية السعودية. تشمل القطاعات المستهدفة كيانات حكومية وبلديات وشركات تكنولوجيا ومشغلي نقل ومنظمات في قطاع الطاقة وشركات القطاع الخاص.

ما يجعل هذه الحملة لافتة ليس نطاقها فحسب بل تطورها التشغيلي. اتبع المهاجمون دورة منضبطة من ثلاث مراحل — مسح، اختراق، استخراج — تعظّم حصاد بيانات الاعتماد مع تقليل الكشف إلى أدنى حد.

تشريح الهجوم: ثلاث مراحل

المرحلة الأولى: المسح عبر Tor

أجرى المهاجمون عمليات مسح مكثفة لرش كلمات المرور ضد مئات المنظمات في وقت واحد. بدلاً من قصف حساب واحد بكلمات مرور متعددة (مما يفعّل حماية القفل)، يجرب رش كلمات المرور عددًا صغيرًا من كلمات المرور الشائعة ضد عدد كبير من الحسابات — مع البقاء تحت العتبة التي تفعّل التنبيهات الأمنية.

لتجنب الحظر القائم على عناوين IP، وجّه المهاجمون كل حركة المسح عبر عقد خروج Tor، مع تغيير العقد بشكل متكرر لمنع الكشف القائم على الأنماط. استخدمت حركة المسح سلسلة User-Agent متنكرة كـ Internet Explorer 10 — متصفح لم يعد مدعومًا بشكل نشط منذ سنوات، مما يجعله إشارة شاذة لكنها غالبًا ما تُتجاهل في سجلات المؤسسات.

المرحلة الثانية: الاختراق عبر VPN تجارية

بمجرد تحديد بيانات الاعتماد الصالحة، غيّر المهاجمون تكتيكاتهم بالكامل. بدلاً من الاستمرار في العمل عبر Tor، أجروا عملية تسجيل الدخول الكاملة من خدمات VPN تجارية — تحديدًا Windscribe (نطاق IP 185.191.204.X) وNordVPN (نطاق IP 169.150.227.X) — مع نقاط خروج محددة جغرافيًا لتتطابق مع المناطق الجغرافية المتوقعة للمنظمات المستهدفة.

صُمم هذا الانتحال الجغرافي لتجاوز سياسات الوصول المشروط التي تستخدمها العديد من المنظمات لتقييد تسجيلات الدخول على المواقع المعتمدة. مهاجم يسجل الدخول من خادم VPN محدد جغرافيًا في نفس بلد المنظمة المستهدفة لن يفعّل تنبيهات الشذوذ الجغرافي.

المرحلة الثالثة: الاستخراج

مع إنشاء جلسات صالحة، وصل المهاجمون إلى بيانات حساسة بما في ذلك محتوى البريد الإلكتروني الشخصي. يشير تحليل الباحثين إلى أن مرحلة الاستخراج كانت مستهدفة وليست عشوائية — يبدو أن المهاجمين أعطوا الأولوية لحسابات وأنواع بيانات محددة بدلاً من تحميل كل شيء متاح بشكل جماعي.

الإسناد وملف فاعل التهديد

يربط تحليل الباحثين الحملة بفاعل تهديد مرتبط بإيران يتشابه مع Gray Sandstorm، مجموعة تهديد تتتبعها Microsoft. تشمل المؤشرات الرئيسية:

استخدام أدوات red team لتنفيذ رش كلمات المرور عبر عقد خروج Tor، بما يتسق مع التكتيكات المعروفة لـ Gray Sandstorm.
عقد VPN تجارية مستضافة على AS35758 (Rachamim Aviel Twito)، نظام مستقل سبق ربطه بعمليات إيرانية في الشرق الأوسط.
إيقاع تشغيلي — يشير الفاصل الزمني البالغ 10 أيام بين موجات الهجوم إلى حملة منظمة بمراحل تخطيط وتحليل بين كل موجة.

تُقيّم الحملة على أنها لا تزال جارية اعتبارًا من أوائل أبريل 2026.

لماذا لا يزال رش كلمات المرور فعالاً

يبقى رش كلمات المرور فعالاً رغم كونه من أقدم تقنيات هجوم بيانات الاعتماد لأنه يستغل توترًا جوهريًا في أمن المؤسسات: تحتاج المنظمات إلى أن يتمكن موظفوها من تسجيل الدخول.

تحدد المنظمات الحديثة عادة عتبات قفل الحسابات عند 5-10 محاولات فاشلة خلال نافذة زمنية قصيرة. يبقى رش كلمات المرور تحت هذه العتبة بمحاولة كلمة مرور واحدة أو اثنتين فقط لكل حساب في كل موجة. ضد مجموعة مستهدفة من أكثر من 300 منظمة بآلاف الحسابات لكل منها، حتى معدل نجاح أقل من 1% ينتج مئات بيانات الاعتماد الصالحة.

الانتقال إلى الهوية القائمة على السحابة — خاصة Microsoft 365 الذي يوحد البريد الإلكتروني وتخزين الملفات والتعاون وتطبيقات الأعمال خلف بيانات اعتماد واحدة — يعني أن هجوم رش ناجح يمنح الوصول إلى أكثر بكثير من البريد الإلكتروني. يمكن لحساب M365 مخترق الوصول إلى مستندات SharePoint ومحادثات Teams وملفات OneDrive وربما واجهات الإدارة.

المصادقة متعددة العوامل (MFA) هي الدفاع الأساسي ضد الهجمات القائمة على بيانات الاعتماد، لكن التبني لا يزال متفاوتًا. وفقًا لتقارير Microsoft نفسها، لا تزال نسبة كبيرة من مستأجري M365 المؤسسية تملك حسابات بدون MFA مفعّلة، خاصة حسابات الخدمة وصناديق البريد المشتركة والتطبيقات القديمة التي لا تدعم بروتوكولات المصادقة الحديثة.

التدابير الدفاعية

يوصي الباحثون الأمنيون وMicrosoft بعدة إجراءات مضادة:

راقب سجلات تسجيل الدخول بحثًا عن مؤشرات الرش. ابحث عن تجمعات من محاولات المصادقة الفاشلة عبر حسابات متعددة من نفس نطاقات IP، خاصة عقد خروج Tor. سلسلة User-Agent لـ IE10 هي إشارة إضافية تستحق المراقبة.

طبّق ضوابط الوصول المشروط بصرامة. قيّد المصادقة على المواقع الجغرافية المعتمدة واشترط فحوصات امتثال الأجهزة. بشكل حاسم، تأكد من أن تسجيلات الدخول عبر VPN تخضع لتحقق إضافي بدلاً من معاملتها كمعادلة للمصادقة المحلية.

فرض MFA بشكل شامل. هذا يعني كل حساب — بما في ذلك حسابات الخدمة وصناديق البريد المشتركة وحسابات الطوارئ. يجب أن تشترط سياسات الوصول المشروط MFA لجميع تسجيلات الدخول من أجهزة أو مواقع غير معروفة.

فعّل تسجيل تدقيق شامل. يتطلب التحقيق بعد الاختراق سجلات مفصلة لأحداث المصادقة والوصول إلى صناديق البريد وتنزيلات الملفات والإجراءات الإدارية. العديد من المنظمات لديها التسجيل معطّل أو مضبوط على حد أدنى من الاحتفاظ، مما يحد من قدرتها على تقييم الأضرار بعد الاختراق.

احظر بروتوكولات المصادقة القديمة. البروتوكولات القديمة مثل POP وIMAP وSMTP AUTH لا تدعم MFA وتُستهدف بشكل متكرر في هجمات بيانات الاعتماد. تعطيل هذه البروتوكولات عبر المستأجر بأكمله يزيل سطح هجوم شائع.

الصورة الأوسع: الهوية السحابية تحت الحصار

هذه الحملة جزء من نمط أوسع. تستهدف الجهات الفاعلة المدعومة من الدول بشكل متزايد بنية الهوية السحابية — خاصة Microsoft 365 وAzure AD (الآن Entra ID) — لأنها تمثل أكبر تركيز لبيانات اعتماد وبيانات المؤسسات في العالم.

توضح الحملة المرتبطة بإيران أن الفاعلين المتطورين لا يحتاجون إلى ثغرات جديدة أو برمجيات خبيثة متقدمة لاختراق بيئات المؤسسات. يحتاجون إلى الصبر والأتمتة ومجموعة أهداف حيث تمتلك نسبة صغيرة من الحسابات حتمًا كلمات مرور ضعيفة وبدون MFA. الأدوات التي يستخدمونها — Tor وVPN تجارية وبرامج نصية للرش — متاحة على نطاق واسع وغير مكلفة.

بالنسبة لفرق الأمن، الدرس واضح: الهوية السحابية بنية تحتية حيوية، والدفاع عنها يتطلب نفس الصرامة المطبقة على محيطات الشبكة وأمن نقاط النهاية. قد يكون رش كلمات المرور تقنية قديمة، لكن في عصر السحابة، يبقى فعالاً بشكل مدمر.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

لماذا لا يزال رش كلمات المرور فعالاً ضد المنظمات الحديثة في 2026؟

يبقى رش كلمات المرور تحت عتبات القفل بمحاولة كلمة مرور أو اثنتين شائعتين فقط لكل حساب عبر آلاف الحسابات في وقت واحد. حتى مع معدل نجاح أقل من 1%، يُنتج رش أكثر من 300 منظمة مئات بيانات الاعتماد الصالحة. تستغل التقنية الفجوة بين سياسة الأمن وتطبيقها — لا تزال العديد من المنظمات تملك حسابات بكلمات مرور ضعيفة وبدون MFA.

كيف تجاوز المهاجمون ضوابط الوصول المشروط الجغرافية؟

بعد تحديد بيانات الاعتماد الصالحة عبر مسح موجّه بـ Tor، تحول المهاجمون إلى خدمات VPN تجارية (Windscribe وNordVPN) بنقاط خروج محددة جغرافيًا لتتطابق مع بلدان المنظمات المستهدفة. هذا جعل تسجيلات الدخول تبدو كأنها صادرة من مواقع متوقعة، متجاوزة كشف الشذوذ الجغرافي الذي تعتمد عليه العديد من المنظمات كدفاع أساسي.

ما هو الدفاع الأكثر فعالية ضد هذا النوع من الحملات؟

المصادقة متعددة العوامل (MFA) الشاملة على كل حساب — بما في ذلك حسابات الخدمة وصناديق البريد المشتركة وحسابات الطوارئ. تجعل MFA كلمات المرور المسروقة عديمة الفائدة لأن المهاجمين لا يستطيعون إكمال عامل المصادقة الثاني. يجب على المنظمات أيضًا تعطيل البروتوكولات القديمة (POP وIMAP وSMTP AUTH) التي لا تدعم MFA.