کمیته رکن چهارم – پژوهشگران امنیت سایبری هشدار دادند که مهاجمان با جعل هویت شرکتها و ساخت اپلیکیشنهای OAuth جعلی برای Microsoft 365، حملاتی پیشرفته را برای سرقت اطلاعات کاربران و دسترسی غیرمجاز به حسابهای مایکروسافت آغاز کردهاند.
به گزارش کمیته رکن چهارم، بر اساس یافتههای شرکت Proofpoint، این مهاجمان با استفاده از نامهای جعلی برندهایی مانند RingCentral، Adobe، SharePoint یا Docusign، اپلیکیشنهایی طراحی کردهاند که از طریق OAuth به حساب Microsoft 365 قربانیان دسترسی مییابند. این کمپین که از ابتدای سال ۲۰۲۵ آغاز شده، شامل بیش از ۵۰ اپلیکیشن جعلی مختلف است و توانایی عبور از احراز هویت چندمرحلهای (MFA) را دارد.
سازوکار حمله به این ترتیب است:
ارسال ایمیلی فیشینگ از حسابهای بهخطر افتاده با موضوعهایی مثل قرارداد تجاری یا درخواست تجاری
هدایت کاربر به صفحه OAuth جعلی به نام «iLSMART» یا سایر نامهای تقلیدی
درخواست مجوز دسترسی به اطلاعات پروفایل و دادههای قبلاً تأییدشده
هدایت کاربر به صفحه CAPTCHA و سپس صفحه فیشینگ ورود مایکروسافت
اجرای حمله مرد-در-میان (AiTM) برای سرقت اطلاعات شخصی و کد MFA
Proofpoint اعلام کرده که در برخی خوشههای حمله از اعتباری که شرکت Twilio SendGrid فراهم میکند نیز برای ارسال ایمیلهای مخرب استفاده شده است. تنها در سال ۲۰۲۵، بیش از ۳۰۰۰ تلاش نفوذ در بیش از ۹۰۰ محیط Microsoft 365 شناسایی شده است.
شرکت امنیتی هشدار داده که تکنیکهای نوین شبیهسازی MFA و AiTM در حال تبدیل شدن به استاندارد مدرن فیشینگ هستند و انتظار میرود حملات پیچیدهتر و مبتنی بر نرمافزارهای فیشینگ سرویسمحور گسترش یابند.
مایکروسافت اعلام کرده که تا پایان اوت ۲۰۲۵ تنظیمات پیشفرض امنیتی را بهروزرسانی خواهد کرد. این شامل مسدودسازی پروتکلهای ورودی قدیمی، الزام تأیید مدیر برای دسترسی اپهای شخص ثالث و محدودسازی اپلیکیشنهایی است که بدون بررسی قبلی به حساب کاربران متصل میشوند.
