كشفت تقارير حديثة عن حملة تصيد احتيالي متطورة تستهدف بشكل مباشر مستخدمي منصات Microsoft 365 و Okta، وذلك بالقدرة على تجاوز آليات المصادقة متعددة العوامل (MFA). يمثل هذا التهديد الجديد خطراً جسيماً على المؤسسات التي تعتمد على هاتين المنصتين لتأمين هوياتها الرقمية.
تم اكتشاف هذه الحملة في بداية شهر ديسمبر 2023، وتوضح الحملة مستوى عالياً من المعرفة بمسارات المصادقة المعقدة. وتستهدف الحملة شركات في قطاعات متنوعة عبر رسائل تصيد محكمة الصياغة، والتي غالباً ما تكون متخفية كإشعارات تتعلق بالموارد البشرية أو المزايا.
حملة تصيد احتيالي تتجاوز المصادقة متعددة العوامل
حدد محللو الأمن في Datadog Security Labs حملة التصيد الاحتيالي النشطة هذه، والتي تستهدف بشكل خاص المنظمات التي تستخدم Microsoft 365 و Okta لخدمات تسجيل الدخول الموحد (SSO). تعمل الحملة بتقنيات تصيد متقدمة مصممة لاعتراض تدفقات تسجيل الدخول الموحد الشرعية، مما يسمح للمهاجمين بالتقاط بيانات اعتماد المستخدم ورموز الجلسة قبل أن تتمكن المصادقة متعددة العوامل من منع الوصول غير المصرح به.
لقد قام المهاجمون بتسجيل نطاقات متعددة مشابهة للنطاقات الأصلية، بما في ذلك sso.okta-secure.io و sso.okta-cloud.com و sso.okta-access.com، لإنشاء نسخ مقنعة من صفحات المصادقة الشرعية.
تُرسل رسائل التصيد الاحتيالي من حسابات بريد إلكتروني مخترقة مرتبطة بـ Salesforce Marketing Cloud، وتستخدم إغراءات تتعلق بالتعويضات مثل مراجعات الرواتب ل نهاية العام ومعلومات المكافآت. تتضمن هذه الرسائل روابط مختصرة تعيد توجيه الضحايا إلى نطاقات تصيد أولية مستضافة على بنية تحتية سحابية.
شهدت المؤسسات وصول مئات المستخدمين عبر شركات متعددة لهذه الرسائل في الأسابيع الأخيرة، ولا تزال الحملة نشطة حتى الآن. تنجح الحملة عبر عملية تصيد احتيالي من مرحلتين تستغل التقاط بيانات الاعتماد المستند إلى JavaScript. في المرحلة الأولى، يقوم المهاجمون بتمرير صفحات Okta الشرعية مع حقن تعليمات برمجية خبيثة تلتقط أسماء المستخدمين وتراقب ملفات تعريف الارتباط الخاصة بالجلسة.
آلية التقاط بيانات الاعتماد المستندة إلى JavaScript
تقع الدقة التقنية في كيفية عمل اعتراص JavaScript أثناء عملية المصادقة. تربط التعليمات البرمجية الخبيثة طريقة `window.fetch`، مما يعيد توجيه جميع الطلبات الشرعية من Okta مرة أخرى إلى نطاق التصيد الخاص بالمهاجم.
عندما يدخل الضحية اسم المستخدم الخاص به، تلتقطه التعليمة البرمجية عبر مستمعي أحداث DOM وتخزنه في مواقع متعددة بما في ذلك `localStorage` و `sessionStorage` وملفات تعريف الارتباط. هذا يضمن التقاط بيانات الاعتماد حتى لو قام المستخدم بالتنقل بين الصفحات أو مسح مساحة تخزين المتصفح.
بالنسبة للضحايا الذين يستخدمون Okta كموفر هوية مع Microsoft 365، يصبح الهجوم أكثر خطورة. عندما يبدأ الضحية مصادقة Microsoft 365، تراقب تعليمة برمجية ثانية محقونة الاستجابات من نقطة نهاية مصادقة Microsoft للحقل المسمى `FederationRedirectUrl`. تكتشف التعليمة البرمجية متى يشير عنوان URL هذا إلى نطاق Okta وتقوم بتعديله ديناميكيًا لإعادة التوجيه إلى صفحة تصيد Okta الثانية الخاصة بالمهاجم بدلاً من ذلك.
يقوم نطاق المهاجم بعد ذلك بتمرير جميع حركة المرور إلى مستأجر Okta الشرعي، مما يخلق تجربة سلسة تخدع المستخدمين لإكمال المصادقة على موقع التصيد. تمنح ملفات تعريف ارتباط الجلسة التي تم التقاطها أثناء هذه العملية المهاجمين وصولاً فورياً إلى حسابات الضحايا دون الحاجة إلى تجاوز المصادقة متعددة العوامل – فهم ببساطة يعيدون تشغيل بيانات اعتماد الجلسة المسروقة.
يجب على المؤسسات مراقبة سجلات Okta الخاصة بها لأحداث `auth_via_mfa` مع أصول طلبات غير متطابقة من عناوين IP الخاصة بـ Cloudflare وتنفيذ طرق مصادقة متعددة العوامل مقاومة للتصيد مثل مفاتيح أمان FIDO2 لمنع مثل هذه الهجمات.