حمله فیشینگ جدید با سوءاستفاده از Azure Blob Storage برای جعل Microsoft

مهاجمان سایبری با سوءاستفاده از Microsoft Azure Blob Storage در حال ساخت وب‌سایت‌های فیشینگی هستند که به‌طرز ماهرانه‌ای شبیه پورتال‌های ورود رسمی Office 365 طراحی شده‌اند و کاربران Microsoft 365 را در معرض خطر جدی سرقت اطلاعات حساب قرار می‌دهند.

این روش از زیرساخت معتبر خود مایکروسافت بهره می‌گیرد و به‌دلیل نمایش گواهی SSL رسمی صادرشده از Microsoft، تشخیص صفحات جعلی را برای کاربران و حتی سیستم‌های امنیتی بسیار دشوار می‌سازد.

طبق گزارش اخیر Ali Tajran، موج این حملات از ۱۷ اکتبر ۲۰۲۵ شدت گرفته و هشدارهایی گسترده برای سازمان‌ها و کاربران منتشر شده است.

نحوه اجرای حمله با استفاده از Azure Blob

این کمپین معمولاً با ارسال ایمیل‌های فریبنده آغاز می‌شود که حاوی لینک‌هایی با ظاهر عادی هستند، مثل نظرسنجی‌های Microsoft Forms یا دعوت‌نامه برای مشاهده اسناد، با آدرس‌هایی نظیر:
forms.office[.]com/...

کاربر پس از کلیک، ابتدا به صفحه‌ای برای دانلود فایل PDF هدایت می‌شود، اما به‌سرعت به صفحه ورود جعلی Microsoft 365 منتقل می‌شود.

آدرس‌های مخرب معمولاً در دامنه‌ی windows.net و به‌طور خاص در زیر دامنه‌های blob.core.windows.net میزبانی می‌شوند، جایی که فایل HTML حاوی فرم فیشینگ در Azure Blob Storage ذخیره شده است.

از آنجا که این سرویس برای میزبانی داده‌های نامنظم (مثل تصاویر یا اسناد) طراحی شده و به‌طور ذاتی توسط مرورگرها و ابزارهای امنیتی معتبر شناخته می‌شود، مهاجمان از اعتماد ذاتی به زیرساخت Azure سوءاستفاده می‌کنند تا حمله‌شان قانونی به نظر برسد.

پس از وارد کردن نام کاربری و رمز عبور، اطلاعات قربانی مستقیماً به سرورهای مهاجم ارسال می‌شود که می‌تواند منجر به دسترسی غیرمجاز به ایمیل‌ها، فایل‌ها و منابع سازمانی شود. در برخی موارد، مهاجمان با دسترسی به توکن‌های احراز هویت، سطح دسترسی خود را ارتقا داده و به کل شبکه نفوذ می‌کنند.

روش مشابهی از سال ۲۰۱۸ نیز گزارش شده بود که در آن فایل‌های PDF جعلی با ظاهر «اسناد حقوقی» به‌عنوان طعمه استفاده می‌شدند، اما اکنون نسخه‌ای پیچیده‌تر و هدفمندتر از همان تکنیک در حال بازگشت است.

راهکارهای مقابله

کارشناسان امنیتی توصیه می‌کنند:

• مسدودسازی ترافیک به دامنه‌ی عمومی *.blob.core.windows.net در فایروال‌ها یا پراکسی‌ها،

• وایت‌لیست‌کردن فقط حساب‌های ذخیره‌سازی مطمئن مانند <your-storage-account>.blob.core.windows.net
  تا دسترسی غیرضروری به منابع مخرب محدود شود.

همچنین فعال‌سازی احراز هویت چندمرحله‌ای (MFA) و نظارت بر ورودهای مشکوک از طریق Microsoft Entra ID می‌تواند به کشف زودهنگام نفوذها کمک کند.

یکی دیگر از راهکارهای مؤثر، شخصی‌سازی صفحه ورود سازمانی Microsoft 365 است؛ یعنی افزودن لوگو، رنگ و نام شرکت به صفحه لاگین رسمی. این کار به کاربران کمک می‌کند صفحات جعلی را از نسخه واقعی متمایز کنند.

در صورت نداشتن برندینگ سازمانی، صفحه‌ی ورود مایکروسافت ظاهری عمومی دارد که می‌تواند به‌راحتی با صفحات فیشینگ اشتباه گرفته شود. مایکروسافت دستورالعمل‌های دقیقی برای پیاده‌سازی سریع این ویژگی در اختیار مدیران شبکه قرار داده است.

این نوع حملات نشان می‌دهد خدمات ابری می‌توانند هم‌زمان هم ابزار امنیت و هم سلاح مهاجمان باشند؛ بستگی دارد چه کسی از آن‌ها استفاده کند.

سازمان‌ها باید آموزش کاربران برای بررسی دقیق URLها را در اولویت قرار دهند. یادآوری کلیدی این است که ورود واقعی مایکروسافت همیشه از دامنه‌ی login.microsoftonline.com انجام می‌شود، نه blob.core.windows.net.