Storm-2949 تستغل إعادة تعيين كلمة المرور في Microsoft 365 لاستنزاف بيانات السحابة

نشرت Microsoft تفاصيل حملة معقدة متعددة المراحل نفذها جهة تهديد تُعرف باسم Storm-2949، تستهدف المؤسسات التي تستخدم بيئات Microsoft 365 وAzure. وما يجعل هجوم اعتماد السحابة هذا على Microsoft 365 لافتًا للنظر بشكل خاص هو نقطة الدخول: ميزة يعتبرها معظم المسؤولين روتينية ومنخفضة المخاطر، وتحديدًا إعادة تعيين كلمة المرور الذاتية (SSPR). وبمجرد الدخول، تحرك المهاجمون بهدوء عبر OneDrive وSharePoint وقواعد بيانات SQL، مستخرجين بيانات عالية القيمة قبل اكتشافهم.

تُعد هذه الحملة تذكيرًا صارخًا بأن منصات السحابة ليست أكثر أمانًا من التكوينات والافتراضات المبنية حولها.

كيف سلحت Storm-2949 إعادة تعيين كلمة المرور الذاتية

إعادة تعيين كلمة المرور الذاتية هي ميزة سهولة استخدام منتشرة على نطاق واسع. فهي تتيح للموظفين استعادة الوصول إلى حساباتهم دون الاتصال بقسم تكنولوجيا المعلومات، مما يقلل من أعباء مكتب المساعدة ووقت التوقف عن العمل. تعتبرها معظم فرق الأمن حميدة. أما Storm-2949 فاعتبرتها بابًا.

من خلال إساءة استخدام وظيفة SSPR، تمكنت جهة التهديد من اختراق هويات المستخدمين دون الحاجة إلى كسر كلمات المرور عبر القوة العمياء أو نشر برمجيات خبيثة. استغل الهجوم نقاط ضعف في كيفية تكوين SSPR أو التحقق منها، مما أتاح للمجموعة السيطرة على حسابات شرعية. وما أن أُعيد تعيين بيانات الاعتماد وتأسس الوصول، حتى اندمج المهاجمون في نشاط المستخدم الطبيعي، مما جعل الكشف السلوكي أكثر صعوبة بكثير.

هذا النهج جدير بالملاحظة لأنه يتجنب العديد من الإشارات التي صُممت أدوات أمن نقطة النهاية لالتقاطها. لا يوجد ملف تنفيذي ضار، ولا تحميل مريب، ولا بصمة اقتحام واضحة. المهاجم ببساطة يسجل الدخول كمستخدم صالح.

ما البيانات التي تعرضت — ولماذا يشكل التخزين السحابي هدفًا عالي القيمة

بعد الحصول على الوصول الأولي، تحركت Storm-2949 عبر نظام Microsoft 365 وAzure البيئي بهدف واضح: استخراج أكبر قدر ممكن من البيانات عالية القيمة. كان OneDrive وSharePoint، المستخدمان في معظم بيئات المؤسسات لتخزين المستندات والتعاون، هدفين أساسيين. كما تم الوصول إلى قواعد بيانات SQL المتصلة ببنية Azure التحتية وتسريبها.

إن حجم ما تخزنه المؤسسات الحديثة في هذه الخدمات يجعلها محط تركيز واضح لجهات التهديد المتطورة. فعقود الأعمال، والسجلات المالية، وبيانات العملاء، والاتصالات الداخلية، والأبحاث الملكية، كلها غالبًا ما توجد في SharePoint أو OneDrive. وغالبًا ما تحتوي قواعد بيانات SQL المتصلة بـ Azure على بيانات تشغيلية منظمة يمكن تحقيق الدخل منها أو استخدامها في هجمات لاحقة.

يتبع هذا النمط عن كثب ما لوحظ في حوادث أخرى كبيرة لجمع بيانات الاعتماد. فقد اتبع هجوم التصيد الصوتي الذي شنته ShinyHunters وكشف عن 40 مليون سجل لشركة Charter Communications منطقًا مشابهًا: الحصول على وصول يبدو شرعيًا، ثم استخراج أكبر قدر ممكن من البيانات قبل أن تستجيب جهات الدفاع. يجمع التخزين السحابي قيمة هائلة في مكان واحد، وهذا بالضبط ما يجعله هدفًا.

لماذا تتجاوز الهجمات القائمة على بيانات الاعتماد الدفاعات التقليدية

بُنيت معمارية الأمن التقليدية حول فكرة أن المهاجمين يقتحمون. يستغلون ثغرات البرمجيات، أو ينشرون برمجيات خبيثة، أو يعترضون حركة مرور الشبكة. صُممت دفاعات الأطراف، وأدوات مكافحة الفيروسات، وأنظمة كشف الاختراق كلها لالتقاط تلك السلوكيات.

تقلب الهجمات القائمة على بيانات الاعتماد هذا الافتراض. المهاجم لا يقتحم؛ بل يدخل ببساطة. عندما تستخدم Storm-2949 ميزة SSPR للسيطرة على حساب شرعي، يبدو كل إجراء لاحق كما لو أن ذلك المستخدم يعمل بشكل طبيعي. تُظهر سجلات الوصول إلى الملفات هوية معترفًا بها. وتنبع حركة مرور الشبكة من خدمات متوقعة. وقد لا تُشغّل عتبات التنبيه المضبوطة لالتقاط السلوك الشاذ أبدًا.

هذه هي نفس فئة الخطر التي تجعل ثغرات المتصفح والمنصة خطيرة للغاية. أظهر باحثون في Pwn2Own Berlin 2026 كيف يمكن ربط ثغرات اليوم صفر في Windows 11 وEdge معًا للحصول على وصول عميق للنظام، مما يوضح أنه حتى المنصات الموثوقة والسائدة تحمل نقاط ضعف قابلة للاستغلال. وتُظهر حملة Storm-2949 أن بنية الهوية السحابية تحمل نفس فئة الخطر.

بمجرد أن يؤسس المهاجمون موطئ قدم من خلال الهوية بدلاً من الاستغلال، تصبح عملية الاحتواء أكثر تعقيدًا بكثير.

إجراءات تخفيف عملية: MFA، وسجلات التدقيق، وتكوين سحابي أكثر ذكاءً

تشير حملة Storm-2949 إلى خطوات ملموسة يمكن للمؤسسات والأفراد اتخاذها لتقليل التعرض.

  • مراجعة تكوين SSPR الخاص بك. إذا كانت إعادة تعيين كلمة المرور الذاتية مفعلة، تحقق من طرق التحقق المطلوبة. يمكن اعتراض خيارات الاسترداد المعتمدة على الهاتف أو خداعها اجتماعيًا. إن اشتراط عوامل متعددة، أو قصر SSPR على الأجهزة المدارة فقط، يرفع العائق أمام المهاجمين بشكل كبير.
  • فرض المصادقة متعددة العوامل (MFA) المقاومة للتصيد عبر جميع الحسابات. توفر المصادقة متعددة العوامل التقليدية المعتمدة على الرسائل القصيرة حماية حقيقية لكنها تبقى عرضة لاختراق بطاقة SIM وبعض أساليب الهندسة الاجتماعية. أما مفاتيح الأمان المادية أو المصدقات المعتمدة على التطبيقات باستخدام معايير FIDO2 فهي أصعب بكثير في إساءة استخدامها.
  • مراجعة سياسات الوصول المشروط. يقدم كل من Microsoft 365 وAzure ضوابط وصول مشروطة يمكنها تقييد عمليات تسجيل الدخول بناءً على امتثال الجهاز والموقع وإشارات المخاطر. العديد من المؤسسات تمتلك هذه الميزات لكن لا تستخدمها.
  • المراقبة بحثًا عن أنماط الوصول الشاذة للبيانات. حتى عندما يستخدم المهاجم بيانات اعتماد شرعية، فإن الوصول إلى مئات مستندات SharePoint أو تنزيل كميات كبيرة من ملفات OneDrive في فترة زمنية قصيرة يجب أن يُطلق التنبيهات. إن تكوين Microsoft Defender for Cloud Apps أو أدوات مراقبة مكافئة للإبلاغ عن الوصول الجماعي للبيانات هو طبقة كشف عملية.
  • النظر في حماية على مستوى الشبكة للوصول السحابي. استخدام VPN لفرض أن الوصول إلى خدمات السحابة يحدث فقط عبر مسارات شبكة معروفة ومراقبة يمكن أن يساعد في الحد من سطح الهجوم لإساءة استخدام بيانات الاعتماد من مواقع غير مألوفة.

ما يعنيه هذا بالنسبة لك

سواء كنت تدير بيئة مؤسسية كبيرة أو تستخدم Microsoft 365 شخصيًا للعمل، فإن حملة Storm-2949 توضح أن أمن السحابة ليس ميزة مفعلة افتراضيًا. توفر منصات مثل Microsoft 365 وAzure أدوات أمنية قوية، لكن هذه الأدوات تتطلب تكوينًا متعمدًا ومراقبة مستمرة لتكون فعالة.

إذا كانت مؤسستك تعتمد على التخزين السحابي للبيانات الحساسة، فهذا هو الوقت المناسب لمراجعة ضوابط الهوية والوصول الخاصة بك. وتحديدًا، راجع مَن لديه ميزة SSPR مفعلة، وكيف يتم التحقق منها، وما إذا كانت MFA مفروضة باستمرار، وما إذا كانت مراقبة الوصول إلى البيانات نشطة.

افتراض أن المنصة تتولى الأمن تلقائيًا هو بالضبط الموقف الذي استغلته هذه الحملة. قضاء بضع ساعات في مراجعة ضوابط الوصول هو تكلفة أقل بكثير من اكتشاف أن بياناتك في OneDrive أو SharePoint قد تم تسريبها بصمت على مدار أيام أو أسابيع.