يشتبه في أن جهة تهديد مرتبطة بإيران تقف وراء حملة واسعة النطاق لرش كلمات المرور تستهدف بيئات Microsoft 365 في إسرائيل والإمارات العربية المتحدة. تقيّم شركة الأمن السيبراني "تشيك بوينت" هذا النشاط على أنه مستمر، ويتزامن مع التصعيد في التوترات بالشرق الأوسط. نُفذت الحملة في ثلاث موجات هجومية متميزة في 3 مارس، و13 مارس، و23 مارس 2026، مما يُظهر جهدًا مستمرًا ومنسقًا لاختراق دفاعات المنظمات.
استخدم المهاجمون تقنية كلاسيكية لرش كلمات المرور، وهي شكل من أشكال هجوم القوة الغاشمة الذي يتجنب قفل الحسابات عن طريق تجربة كلمة مرور شائعة واحدة ضد عدد كبير من أسماء المستخدمين قبل الانتقال إلى كلمة المرور التالية. هذه الطريقة فعالة بشكل خاص ضد المنظمات التي تفتقر إلى سياسات كلمات مرور قوية أو مصادقة متعددة العوامل (MFA). ركزت الحملة بشكل أساسي على أكثر من 300 منظمة إسرائيلية عبر قطاعات مختلفة، بما في ذلك الحكومة والجيش والتمويل ومكاتب المحاماة، بهدف الحصول على وصول أولي للشبكات المؤسسية من أجل عمليات تجسس أو تخريب محتملة.
كشف تحليل "تشيك بوينت" أن جهة التهديد استخدمت قائمة بكلمات مرور افتراضية وضعيفة معروفة، وقامت برشها ضد حسابات المستخدمين التي تم تحديدها عبر معلومات الاستخبارات المصدر المفتوح (OSINT) وربما انتهاكات البيانات السابقة. ساعد استخدام شبكات الوكيل السكنية على إخفاء مصادر الهجوم، مما جعل الكشف عنها أكثر صعوبة. تؤكد هذه الحملة الاستمرار في تركيز الجماعات الموالية لإيران على جمع المعلومات الاستخباراتية والتجسس الإلكتروني ضد الخصوم الإقليميين، مستفيدة من تقنيات بسيطة نسبيًا لكنها فعالة لاستغلال نقاط الضعف الأمنية الشائعة.
يُحث المنظمات على تنفيذ إجراءات دفاعية فورية. يعد فرض كلمات مرور قوية وفريدة ونشر المصادقة متعددة العوامل (MFA) عالميًا من أهم الخطوات للتخفيف من مثل هذه الهجمات. بالإضافة إلى ذلك، يجب على فرق الأمان مراقبة محاولات تسجيل الدخول غير الطبيعية، خاصة تلك المنشأ من مواقع أو خدمات وكيل غير مألوفة، والنظر في تنفيذ سياسات الوصول المشروط التي تتطلب تحققًا إضافيًا لمحاولات تسجيل الدخول عالية الخطورة. يعد هذا الحادث تذكيرًا صارخًا بأن النظافة الأمنية الأساسية تظل الدفاع الأكثر فعالية ضد غالبية التسللات الإلكترونية الانتهازية.
