في 13 يوليو 2026، كشف باحثو شركة Lexfo الفرنسية عن ثلاث حملات تصيد نشطة تعتمد على Evilginx بعدما ترك مهاجم خادم بايثون مكشوفًا مع تفعيل قائمة الدليل، مما سمح بالوصول إلى أدواته وسجلاته. إحدى الحملات الثلاث سجلت 218 حسابًا مخترقًا عبر 12 دولة، 94% منها كانت صناديق بريد مؤسسية، واتبعت الحملات مسارين: سرقة رمز الجلسة ع...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
في يوليو 2026، كشف اكتشافان متوازيان عن طفرة في هجمات التصيد التي تستهدف Microsoft 365 وتتجاوز التحقق متعدد العوامل (MFA) باستخدام طريقتين مختلفتين جوهريًا: هجمات الوسيط (Adversary-in-the-Middle أو AiTM) عبر الخوادم الوكيلة، وإساءة استخدام التحقق عبر رمز الجهاز. جاء الاكتشاف الأول من خطأ ارتكبه أحد المهاجمين — خادم ويب بلغة بايثون تم ضبطه بشكل خاطئ مما كشف ثلاث حملات نشطة. أما الاكتشاف الثاني فجاء من باحثين يتتبعون منصة تصيد تجارية جديدة تُدعى Forg365. فهم كيفية عمل كل هجوم هو الخطوة الأولى لنشر الدفاعات الصحيحة، لأن الحل المناسب لأحدهما لا يوقف الآخر.
في 13 يوليو 2026، اكتشف باحثون من شركة الأمن الفرنسية Lexfo ثلاث عمليات تصيد نشطة تعتمد على Evilginx وتستهدف Microsoft 365، وذلك بعد أن ترك المهاجم خادم ويب بلغة بايثون مكشوفًا على منفذ عام مع تفعيل قائمة الدليل. كان الأمر python3 -m http.server 8080.bash_history للخادم. من خلال ذلك الدليل المفتوح، تمكنت Lexfo من الحصول على مجموعة أدوات المهاجم بالكامل وسجلاته وبيانات الضحايا المسروقة، ثم تتبعت لتعريف مهاجمين آخرين يديران حملات منفصلة .
كانت العمليات الثلاث حملات Evilginx القائمة على هجمات الوسيط التي توكّل صفحات تسجيل الدخول إلى Microsoft 365 لسرقة رموز الجلسة بعد أن يُكمل المستخدم التحقق متعدد العوامل . سجّلت إحدى هذه الحملات 218 حسابًا مخترقًا عبر 12 دولة، منها 94% كانت صناديق بريد مؤسسية
. استخدمت العمليات مسارين هجوميين متميزين: سرقة رموز الجلسة عبر Evilginx وهجمات رمز الجهاز — حيث أرسلت إحدى الأدوات الضحايا إلى صفحة تسجيل الدخول الحقيقية لمايكروسوفت لتفويض الوصول بأنفسهم، بينما كان خادم المهاجم يتحقق باستمرار من الحصول على الرمز
.
بشكل منفصل، تم تعريف منصة Forg365 كخدمة تصيد (PhaaS) من قبل باحثي ZeroBEC (تم الإبلاغ عنها في 9-13 يوليو 2026) على أنها منصة تجارية تُوزع عبر تلغرام بسعر 400 دولار شهريًا (أو 3,800 دولار سنويًا). على عكس نسخ Evilginx المخصصة التي وُجدت على الخادم المكشوف، تجمع Forg365 طرق هجوم وأدوات متعددة في لوحة تحكم واحدة يديرها المشغل .
تجمع Forg365 ثلاث قدرات أساسية:
تشمل المنصة أيضًا أدوات لتجنب الفحص الأمني (تكشف بيئات الاختبار والزواحف الأمنية)، والوصول إلى صندوق البريد بعد الاختراق (يمكن للمشغلين تصفح البريد الإلكتروني واستخراجه من اللوحة)، وتدوير خوادم SMTP، وجدولة الحملات .
يوضح هذان الاكتشافان الفرق الحاسم بين هجمات الوسيط (AiTM) وإساءة استخدام رمز الجهاز. فهم الفرق ضروري لأن نفس الدفاع لا يعمل لكليهما:
هجمات الوسيط (AiTM) (نمط Evilginx): يُنشئ المهاجم صفحة تسجيل دخول مزيفة توكل حركة المرور إلى صفحة تسجيل الدخول الحقيقية لمايكروسوفت. يُدخل المستخدم كلمة المرور ويُكمل التحقق متعدد العوامل على الخادم الوكيل للمهاجم. بعد المصادقة الناجحة، تُصدر مايكروسوفت كعكة جلسة للمتصفح الذي تعتقد أنه المتصفح الشرعي — ولكن تلك الكعكة تصل فعليًا إلى خادم المهاجم الوكيل، وليس متصفح المستخدم. يمكن للمهاجم بعد ذلك إعادة استخدام تلك الكعكة للوصول إلى حساب الضحية في Microsoft 365 .
التصيد عبر رمز الجهاز: يُنشئ المهاجم رمز جهاز شرعي من مايكروسوفت (رمز قصير يُستخدم لتسجيل الدخول على أجهزة بدون لوحة مفاتيح، مثل أجهزة التلفاز الذكية) ويُرسله إلى الضحية عبر بريد إلكتروني تصيدي. يزور الضحية صفحة تسجيل الدخول الحقيقية لمايكروسوفت، ويُدخل الرمز، ويُكمل التحقق، ويُفوض تطبيق المهاجم. لم يتم تجاوز أي شيء — الضحية هي من فوضت الوصول. ثم يتحقق خادم المهاجم من مايكروسوفت للحصول على الرمز .
الدفاع الأكثر فعالية ضد هجمات الوسيط هو التحقق متعدد العوامل المقاوم للتصيد (phishing-resistant MFA)، وتحديدًا FIDO2/WebAuthn وpasskeys. هذه التقنيات تربط بيانات الاعتماد باسم النطاق الشرعي، لذلك عندما يتصل متصفح المستخدم بموقع المهاجم الوكيل (الذي له نطاق مختلف)، يكتشف بروتوكول المصادقة عدم تطابق النطاق ويمنع تبادل بيانات الاعتماد تلقائيًا .
تشمل الدفاعات الأخرى:
التصيد عبر رمز الجهاز لا يتطلب من المهاجم خداع المستخدم لإدخال بيانات الاعتماد على صفحة مزيفة — إذ يتفاعل المستخدم مع صفحة تسجيل الدخول الحقيقية لمايكروسوفت. هذا يعني أن FIDO2/passkeys وحدها لا تحمي بشكل كامل من هذا الهجوم لأن تدفق OAuth الشرعي يُستخدم .
الدفاع الأساسي هو حظر تدفق OAuth لرمز الجهاز للمستخدمين الذين لا يحتاجونه، باستخدام الوصول المشروط من Microsoft Entra ID:
دفاعات إضافية:
أوصى تحذير مكتب التحقيقات الفيدرالي (FBI) الصادر في مايو 2026 بشأن منصة Kali365 PhaaS بتعطيل تدفق رمز الجهاز كدفاع أساسي . مع استمرار منصات التصيد مثل Forg365 في تسويق هذه التقنيات الهجومية، فإن الضرورة التشغيلية للمدافعين واضحة: انشر FIDO2/passkeys لجميع الحسابات المميزة لإيقاف هجمات الوسيط، واستخدم الوصول المشروط لتعطيل تدفق رمز الجهاز للمستخدمين الذين لا يحتاجونه. قد يكون دليل واحد مكشوف قد أظهر ثلاث حملات — لكن الدروس تنطبق على كل مستأجر (Tenant) في Microsoft 365.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
في 13 يوليو 2026، كشف باحثو شركة Lexfo الفرنسية عن ثلاث حملات تصيد نشطة تعتمد على Evilginx بعدما ترك مهاجم خادم بايثون مكشوفًا مع تفعيل قائمة الدليل، مما سمح بالوصول إلى أدواته وسجلاته.
في 13 يوليو 2026، كشف باحثو شركة Lexfo الفرنسية عن ثلاث حملات تصيد نشطة تعتمد على Evilginx بعدما ترك مهاجم خادم بايثون مكشوفًا مع تفعيل قائمة الدليل، مما سمح بالوصول إلى أدواته وسجلاته. إحدى الحملات الثلاث سجلت 218 حسابًا مخترقًا عبر 12 دولة، 94% منها كانت صناديق بريد مؤسسية، واتبعت الحملات مسارين: سرقة رمز الجلسة عبر Evilginx وإساءة استخدام رمز الجهاز من مايكروسوفت.
اكتُشفت منصة Forg365، وهي منصة تصيد كخدمة (PhaaS) تجارية تُوزع عبر تلغرام بتكلفة 400 دولار شهريًا، وتجمع بين هجمات الوسيط ورمز الجهاز وأدوات الذكاء الاصطناعي.