أشباح في السحابة: كيف تفوقت "ConsentFix" على دفاعات مايكروسوفت

حملة تصيد متطورة تستولي على حسابات مايكروسوفت متجاوزة كلمات المرور والمصادقة متعددة العوامل - من خلال تسليح OAuth وثقة Azure CLI.

تخيل هذا: أنت تتصفح جوجل وتضغط على رابط من موقع موثوق. بعد ثوانٍ، يصبح القراصنة داخل حسابك في مايكروسوفت - دون سرقة كلمة المرور أو إطلاق أي إنذارات أمنية. هذا ليس افتراضاً. إنها الحقيقة المرعبة لهجوم "ConsentFix" الجديد، وهي عملية جريمة إلكترونية متطورة كشفتها Push Security تعيد كتابة قواعد الاستيلاء على حسابات السحابة.

حقائق سريعة

تستغل "ConsentFix" تدفق موافقة OAuth وأداة Azure CLI من مايكروسوفت، متجاوزة كلمات المرور والمصادقة متعددة العوامل (MFA).
يتم استدراج الضحايا عبر نتائج بحث جوجل المسمومة التي تؤدي إلى مواقع ذات سمعة عالية تم اختراقها.
يعتمد الهجوم على الهندسة الاجتماعية، حيث يتم خداع المستخدمين لربط حساباتهم في مايكروسوفت بنسخة خبيثة من Azure CLI.
Azure CLI، كأداة رسمية من مايكروسوفت، لا يمكن إبطالها وتعتبر موثوقة ضمن جميع المستأجرين.
تقنيات التهرب المتقدمة، بما في ذلك الحجب بناءً على عنوان IP والاستهداف الانتقائي، تجعل الاكتشاف بالغ الصعوبة.

تشريح سرقة سحابة حديثة

لا تهتم ConsentFix بكلمات المرور أو تسجيلات الدخول بالقوة الغاشمة. بدلاً من ذلك، تسلح الآليات المصممة لحماية حسابات السحابة: موافقة OAuth وأداة Azure CLI من مايكروسوفت نفسها. تبدأ الحملة بحيلة ذكية - يقوم المهاجمون بتسميم نتائج بحث جوجل، ويرسلون المستخدمين المطمئنين إلى نطاقات تبدو شرعية لكنها مخترقة.

بمجرد دخول الموقع، يواجه الزوار اختبار CAPTCHA مزيف مقنع، لتصفية غير المستهدفين والتحقق من عناوين البريد الإلكتروني. بعد اجتياز هذا الحاجز الرقمي، يتم إعادة توجيه المستخدمين إلى صفحات تسجيل الدخول الحقيقية لمايكروسوفت. إذا كانوا قد سجلوا الدخول بالفعل، فلا حاجة لكلمة مرور - مجرد نقرة واحدة. لكن هنا تكمن الخدعة: يحصل الضحية على رابط يحتوي على رمز تفويض OAuth ويتم خداعه اجتماعياً للصقه في موقع تصيد. هذا الفعل البسيط يمنح المهاجمين تذكرة ذهبية: موافقة كاملة لـ OAuth على نسخة Azure CLI الخاصة بهم.

لماذا Azure CLI؟ لأنها أداة رسمية من مايكروسوفت، فهي موثوقة ضمنياً ولا يمكن إبطالها أو حظرها مثل التطبيقات الخارجية. تحصل على أذونات واسعة، وأحياناً قديمة، وغالباً ما تشمل الوصول إلى وظائف إدارية حساسة وموارد على مستوى المستأجر. بعبارة أخرى، إنها حصان طروادة المثالي.

في الخفاء، تنشر ConsentFix حجباً متزامناً لعناوين IP، وجافاسكريبت مشروط، وحيل أخرى لتجنب الباحثين وأنظمة الكشف التلقائي. البنية التحتية انتقائية للغاية لدرجة أن حتى خبراء الأمن يواجهون صعوبة في رصدها. عند وقوع الهجوم، تظهر سجلات مايكروسوفت أنماط وصول مشبوهة - غالباً من مواقع غير معتادة تستهدف خدمات مثل Azure Active Directory وIntune.

ما الذي يمكن فعله؟

ConsentFix جرس إنذار: مرشحات التصيد التقليدية عبر البريد الإلكتروني عاجزة أمام استغلالات OAuth عبر المتصفح. يوصي الخبراء بمراقبة دقيقة لنشاط OAuth، وتوعية المستخدمين بمخاطر نوافذ الموافقة، وإعادة التفكير في مدى الثقة التي نمنحها لأدوات السحابة الرسمية. في معركة السحابة المتطورة، قد لا يكون الخطر الحقيقي فيما تعرفه - بل فيما تثق به دون وعي.

ويكيسارق: مسرد المصطلحات

OAuth: معيار مفتوح لتفويض الوصول، يسمح للمستخدمين بمنح تطبيقات خارجية وصولاً محدوداً إلى مواردهم دون مشاركة بيانات الاعتماد.
Azure CLI: أداة سطر أوامر من مايكروسوفت لإدارة موارد السحابة في Azure، وتعتبر موثوقة افتراضياً في جميع مستأجري Microsoft Entra ID (Azure AD).
المصادقة متعددة العوامل (MFA): عملية أمنية تتطلب من المستخدمين تقديم عاملين أو أكثر للتحقق للوصول إلى الحساب، مما يصعب الوصول غير المصرح به.
التصيد الاحتيالي: تقنية جريمة إلكترونية يخدع فيها المهاجمون الضحايا لكشف معلومات حساسة أو تنفيذ إجراءات تعرض الأمان للخطر.
المستأجر: مثيل معزول لخدمة سحابية (مثل Microsoft 365) تستخدمه المؤسسات لفصل وإدارة مستخدميها ومواردها.