قراصنة إيرانيون يشنون هجوماً واسعاً على مستخدمي “مايكروسوفت 365” في الشرق الأوسط

تتزايد المخاوف الأمنية في الشرق الأوسط مع استهداف جهات فاعلة مرتبطة بإيران لحسابات Microsoft 365 من خلال حملة رش كلمات المرور. تسعى هذه الحملة إلى استغلال نقاط الضعف في بساطة كلمات المرور للوصول إلى بيانات حساسة.

تعتمد الهجمات على محاولة اختراق حسابات السحابة عبر كلمات مرور ضعيفة، بدلاً من اللجوء إلى برمجيات خبيثة معقدة. هذا النهج يمثل تهديداً مباشراً لبيانات الشركات والمؤسسات التي تعتمد على خدمات Microsoft 365.

حملة رش كلمات المرور تستهدف Microsoft 365 في الشرق الأوسط

شهدت مناطق في الشرق الأوسط، خصوصاً إسرائيل والإمارات العربية المتحدة، موجات هجومية متعددة تركزت على تعطيل حسابات Microsoft 365. جاءت هذه الموجات في 3 مارس، 13 مارس، و23 مارس 2026، مستهدفة أكثر من 300 منظمة في إسرائيل وأكثر من 25 منظمة في الإمارات.

وشملت الهجمات أيضاً جهات في أوروبا والولايات المتحدة والمملكة المتحدة والمملكة العربية السعودية، مستهدفة قطاعات حكومية، بلديات، شركات طاقة، وشركات خاصة. أشار باحثو Check Point إلى أن هذه الحملة مرتبطة بجهات فاعلة مقرها إيران.

استندت التقييمات إلى القطاعات المستهدفة، التركيز الجغرافي، والسلوكيات التقنية المسجلة في سجلات الدخول. كما ربط الباحثون استهداف البلديات الإسرائيلية بأحداث قد تكون مرتبطة بأعمال استطلاعية لتقييم الأضرار.

يعتمد أسلوب “رش كلمات المرور” على تجربة مجموعة صغيرة من كلمات المرور الشائعة على عدد كبير من الحسابات، وذلك على عكس الهجمات التقليدية التي تركز على حساب واحد. سمح استخدام عناوين IP متعددة للمهاجمين بتجاوز إجراءات الحظر المعتمدة على IP.

وقد أدت القدرة على تجاوز هذه الإجراءات إلى تسهيل التخفي ضمن حركة المرور العادية، مما جعل اكتشاف الحملة أمراً صعباً.

آلية هجوم رش كلمات المرور

تتضمن الآلية ثلاث مراحل رئيسية: المسح، الاختراق، والاستخلاص. في مرحلة المسح، استخدم المهاجمون نقاط خروج Tor متغيرة باستمرار، مع إرسال طلبات تحمل وكيل مستخدم (User Agent) مصمم ليبدو وكأنه Internet Explorer 10 على نظام Windows 7.

هذا التغيير المستمر قلل من فعالية المؤشرات الأمنية الثابتة، وأجبر فرق الأمن على التركيز على أنماط التوقيت، حجم محاولات تسجيل الدخول، وانتشار حالات الفشل عبر الحسابات المتعددة.

عند العثور على بيانات اعتماد صحيحة، انتقل المهاجمون إلى استخدام شبكات VPN تجارية من مزودين مثل Windscribe وNordVPN. تم تحديد مواقع هذه الـ VPNs في إسرائيل، مما قد يكون ساعد في تجاوز القيود الجغرافية أو تقليل التنبيهات الأمنية المتعلقة بالوصول الخارجي.

يسمح الدخول عبر حسابات شرعية للمهاجمين بالوصول إلى محتوى البريد الإلكتروني الخاص وغيره من المعلومات الحساسة المخزنة سحابياً، دون إثارة القلق المرتبط عادةً بتسليم البرمجيات الخبيثة أو الأعمال التخريبية.

وقد لوحظ أن البلديات الإسرائيلية كانت الهدف الأساسي، سواء من حيث عدد المنظمات المستهدفة أو حجم محاولات رش كلمات المرور. إلا أن الهجمات طالت أيضاً جهات حكومية وقطاعات الطاقة والشركات الخاصة.

تتضمن التوصيات المقدمة لمواجهة هذه التهديدات مراقبة سجلات الدخول للبحث عن حالات فشل متعددة عبر حسابات مختلفة من مصدر واحد، وتطبيق ضوابط وصول قائمة على الموقع الجغرافي. كما يُنصح بحظر Tor حيثما أمكن، وفرض المصادقة متعددة العوامل (MFA) على مستوى المستأجر، وتعزيز ممارسات كلمات المرور، وتشغيل سجلات التدقيق.

تكمن أهمية هذه الخطوات في أن هجمات رش كلمات المرور لا تتطلب برمجيات خبيثة متقدمة لإحداث الضرر. يمكن لكلمة مرور ضعيفة واحدة أن تمنح المهاجم وصولاً مستمراً وخفياً إلى مساحة العمل السحابية التي يعتمد عليها الموظفون يومياً.

لذلك، أصبحت مراقبة الهوية بنفس أهمية مراقبة نقاط النهاية للمنظمات التي تعتمد على Microsoft 365. فطريق الهجوم المبسط يمكن أن يخلق أكبر ثغرة أمنية عندما تكون العديد من الخدمات والمستخدمين والسجلات محمية بكلمة مرور واحدة.