متسللون يستخدمون بيانات مسروقة لاختراق بوابات الدخول الموحد للشركات.

تَشهد الحملات السيبرانية موجة تصعيد خطيرة، حيث تكشف تهديدات جديدة عن تحول كبير في أساليب اختراق الشبكات المؤسسية. فبدلاً من استغلال الثغرات البرمجية، يعتمد المهاجمون بشكل متزايد على استخدام بيانات اعتماد مسروقة لتسجيل الدخول المباشر، ويُعدّ استخدام برامج سرقة المعلومات محور هذا التحول.

تُستخدم عائلات برامج سرقة المعلومات الخبيثة ببراعة لجمع بيانات الاعتماد بصمت من أجهزة الموظفين المصابة، ثم تغذية هذه المعلومات في هجمات القوة الغاشمة ضد بوابات الدخول الموحد (SSO) المؤسسية، لا سيما تلك التي تستخدم واجهات F5 BIG-IP.

بدأت هذه الأنشطة في الظهور للعلن بشكل بارز في 23 فبراير 2026، عندما سلطت مجموعة Defused Cyber المتخصصة في استخبارات التهديدات الضوء على حملة ضخمة لتجميع بيانات الاعتماد تستهدف أجهزة F5.

تمكنت أجهزة المراقبة (honeypots) التابعة للمجموعة من التقاط طلبات POST من عنوان IP واحد، وهو 219.75.254.166، المسجل باسم OPTAGE Inc. في اليابان. أظهرت هذه الطلبات قيام المهاجم بإدخال مجموعات من بيانات البريد الإلكتروني وكلمات المرور الخاصة بالشركات على نطاق واسع.

المثير للقلق في هذه الهجمات لم يكن حجمها، بل دقتها؛ حيث بدت بيانات الاعتماد المستخدمة وكأنها تسجيلات دخول شرعية خاصة بشركات عالمية كبرى وجهات حكومية.

برامج سرقة المعلومات تغذي هجمات سرقة الهوية

بعد تحليل البيانات التي تم جمعها، تمكن محللو معلومات برامج سرقة المعلومات من تحديد المصدر الحقيقي لتلك البيانات، بعد مقارنتها بقاعدة بيانات Hudson Rock العالمية لجرائم الإنترنت.

من بين 70 تركيبة فريدة من البريد الإلكتروني وكلمة المرور التي لوحظت في الهجوم، تم مطابقة 54 منها مباشرة مع سجلات إصابات معروفة ببرامج سرقة المعلومات، مما يشير إلى نسبة مطابقة تجاوزت 77%.

لم تكن هذه بيانات اعتماد تم تسريبها عبر خرق بيانات تقليدي لأجهزة F5. بل تم جمعها من أجهزة الموظفين المصابين ببرامج سرقة المعلومات، ثم إعادة استخدامها ضد البنية التحتية الخارجية، بما في ذلك خدمات ADFS (خدمات اتحاد الدليل النشط)، و STS (خدمة رمز الأمان)، وبوابات OWA. يؤكد هذا التحول أن برامج سرقة المعلومات قد تجاوزت مجرد سرقة البيانات لتصبح أداة اختراق شبكات منسق.

كان نطاق المنظمات المتضررة كبيراً، وشملت شركات مثل Rolls-Royce، Johnson & Johnson، Ericsson، Deloitte، Cellebrite، بالإضافة إلى الشرطة البلجيكية وشرطة كوينزلاند.

كما طالت الهجمات موظفين في وزارات حكومية تركية وموظفين في تكتلات تجزئة كبرى. لقد ألقى المهاجمون شبكة واسعة، معتمدين على حقيقة أن عدداً قليلاً من عمليات تسجيل الدخول الصالحة، في ظل غياب المصادقة متعددة العوامل القوية، تكفي لاختراق الشبكة.

وكانت البنية التحتية للهجوم مصدر قلق إضافي. فقد تم تتبع عنوان IP المستخدم في الحملة إلى جدار حماية Fortinet FortiGate-60E مخترق تابع لشركة OPTAGE Inc. في اليابان، ومفتوح على المنافذ 541/tcp و 10443/tcp، ويستخدم شهادة SSL موقعة ذاتياً.

يُظهر هذا النمط أن المهاجمين يقومون بتوجيه الحركة عبر جهاز طرفي تم اختراقه لاستهداف أجهزة طرفية أخرى، مما يجمع بين هويات مسروقة وبنية تحتية شبكية مخترقة في نهج مزدوج يصعب اكتشافه.

سلسلة “الدخول إلى القيادة”: الهوية كسياج جديد

يُعد الجانب الأكثر أهمية من الناحية التقنية في هذه الحملة ما يصفه الباحثون بـ “سلسلة الدخول إلى القيادة” (Log-to-Lead pipeline). وهي عملية صناعية تحول بيانات الإصابة الخام من برامج سرقة المعلومات إلى وصول للشبكات المؤسسية في غضون أيام.

عندما يتم إصابة جهاز الموظف، تقوم البرامج الخبيثة باستخلاص جميع بيانات الاعتماد المحفوظة في المتصفح، بما في ذلك كلمات مرور ADFS الرئيسية وكلمات مرور SSO.

يتم تجميع هذه السجلات، وتصفيتها حسب قيمة نطاق الشركة، ثم بيعها إلى سماسرة الوصول الأولي (Initial Access Brokers) في أسواق الويب المظلم.

بعد ذلك، يشتري المهاجمون حزم بيانات الاعتماد هذه ويقومون بتقديمها ضد الأجهزة الطرفية للشركات على نطاق واسع، حتى ينجح أحدها في فتح الوصول.

الفكرة الأساسية وراء هذه السلسلة هي ما يسميه المحللون “التكافؤ الوظيفي”. الأجهزة مثل F5 BIG-IP غالباً ما تكون مهيأة لقبول نفس بيانات الاعتماد الرئيسية المستخدمة لتسجيل دخول Windows والبوابات الداخلية.

عندما يحصل المهاجم على كلمة مرور ADFS من سجل برنامج سرقة المعلومات، قد تفتح هذه الكلمة نفسها أيضاً شبكة VPN، أو بوابة SSO، أو بوابة الوصول عن بعد. المهاجم هنا لا يستغل خللاً برمجياً، بل يدخل عبر الباب الأمامي بمفتاح مسروق، وتصبح الهوية هي السياج الجديد.

لمواجهة هذا التهديد، يجب على المؤسسات فرض المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي عبر جميع الأجهزة الطرفية وبوابات SSO.

ينبغي مراقبة بيانات اعتماد الموظفين المكشوفة من خلال تغذيات استخبارات الويب المظلم والجريمة السيبرانية قبل أن يتم استغلالها في حملات تجميع بيانات الاعتماد.

يجب القضاء على إعادة استخدام كلمات المرور عبر الأنظمة الداخلية على مستوى السياسات، كما يجب أن تكتشف ضوابط أمن نقاط النهاية إصابات برامج سرقة المعلومات قبل وصول بيانات الاعتماد المسروقة إلى أسواق الويب المظلم.

علاوة على ذلك، يجب تدريب الموظفين على مخاطر كلمات المرور المحفوظة في المتصفح، حيث أن هذه العادات اليومية تغذي مباشرة سلسلة برامج سرقة المعلومات الكامنة خلف هجمات كهذه.