عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد برامج الفدية هجوم الفدية العنكبوتية المتناثرة

هجوم الفدية العنكبوتية المتناثرة

بواسطة Mezo في برامج الفدية, التهديد المستمر المتقدم (APT)
ترجمة الى:

صعّدت "سكاتيرد سبايدر"، وهي جماعة إجرامية إلكترونية متطورة وعدوانية، هجماتها على برامج VMware ESXi الافتراضية. تستهدف هذه الجماعة قطاعات رئيسية مثل تجارة التجزئة وشركات الطيران والنقل في أمريكا الشمالية، وتتميز عملياتها بالتخطيط المدروس والفعالية العالية. لا يكمن نجاحها في استغلال ثغرات البرامج، بل في إتقانها للهندسة الاجتماعية والتلاعب بالأنظمة الموثوقة.

تكتيكات بلا ثغرات: الهندسة الاجتماعية في جوهرها

بدلاً من استغلال ثغرات البرامج، تعتمد مجموعة "العنكبوت المتناثر" على تكتيك مُجرّب ومُختبر: الهندسة الاجتماعية عبر الهاتف. غالبًا ما تتصل المجموعة بمكاتب دعم تكنولوجيا المعلومات لانتحال هويات موظفين رسميين، بمن فيهم مسؤولو أمن ذوي صلاحيات عالية. تُعدّ هذه المكالمات جزءًا من استراتيجية أوسع نطاقًا تعتمد على حملات، ما يجعل هجماتهم بعيدة كل البعد عن العشوائية. فهم يُخططون عملياتهم بدقة لاستهداف أكثر الأنظمة والبيانات حساسية داخل المؤسسة.

يُعرف مُخربو Scattered Spider بتسجيل نطاقات مُضلِّلة تُحاكي بدقة البنية التحتية أو بوابات تسجيل الدخول الخاصة بأهدافهم. تتضمن أنماط التسمية الشائعة ما يلي:

  • اسم الضحية-sso.com
  • اسم الضحية-okta.com
  • موقع victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

من مركز المساعدة إلى المشرف الافتراضي: سلسلة الهجمات متعددة المراحل

تتكشف منهجية هجوم Scattered Spider من خلال خمس مراحل إستراتيجية، تم تصميم كل منها لتصعيد الوصول وتقليل الاكتشاف:

الوصول الأولي وتصعيد الامتيازات
يبدأ المهاجمون بالهندسة الاجتماعية لانتحال هوية الموظفين، وجمع بيانات الاعتماد، وجمع الوثائق الداخلية. غالبًا ما يستخرجون البيانات من برامج إدارة كلمات المرور مثل HashiCorp Vault، ويستغلون عمليات دعم تكنولوجيا المعلومات لإعادة تعيين كلمات مرور المسؤولين.

الحركة الجانبية إلى vSphere
باستخدام بيانات اعتماد Active Directory المُخصصة لبيئات VMware، يمكنهم الوصول إلى جهاز vCenter Server Appliance (vCSA). يتم استخدام أداة تُسمى teleport لإنشاء غلاف عكسي مُشفّر يتجاوز قواعد جدار الحماية ويُرسي وصولاً مستمرًا.

معالجة المشرف الافتراضي واستخراج البيانات
تم تفعيل SSH على مضيفات ESXi، وتمت إعادة تعيين كلمات مرور الجذر، وتم تنفيذ هجوم "مبادلة الأقراص". يتضمن ذلك إيقاف تشغيل جهاز افتراضي لوحدة تحكم المجال، وفصل قرصه الافتراضي، وربطه بجهاز افتراضي يتحكم به المهاجم، واستخراج قاعدة بيانات NTDS.dit قبل عكس العملية.

تعطيل آليات الاسترداد
يتم حذف مهام النسخ الاحتياطي واللقطات ومستودعات البيانات لإزالة خيارات الاسترداد وتضخيم تأثير الهجوم.

نشر برامج الفدية
يتم إرسال الثنائيات المخصصة لبرامج الفدية عبر SCP أو SFTP إلى مضيفات ESXi المخترقة، مما يؤدي إلى تشفير الأنظمة المهمة عبر البيئة الافتراضية.

سرعة وتسلل العنكبوت المبعثر

ما يميز مجموعة Scattered Spider، المعروفة أيضًا بأسماء مستعارة مثل 0ktapus وMuddled Libra وOcto Tempest وUNC3944، عن مُجرمي برامج الفدية التقليديين هو سرعة عملياتهم وخفائها. ويشير الخبراء إلى أن الهجوم بأكمله، بدءًا من الوصول الأولي وحتى نشر برامج الفدية، قد يحدث في غضون ساعات قليلة. في بعض الحالات، تم استخراج أكثر من 100 جيجابايت من البيانات في أقل من 48 ساعة. كما تم ربط المجموعة ببرنامج DragonForce لبرامج الفدية، مما يعزز قدراتها بشكل أكبر.

تحول استراتيجيات الدفاع: من الاستجابة للطوارئ والاستجابة للطوارئ إلى الأمن المرتكز على البنية التحتية

نظرًا لطبيعة هذه الهجمات، قد لا تكفي أدوات الكشف والاستجابة لنقاط النهاية (EDR) القياسية. يتطلب الدفاع ضد هجمات Scattered Spider نهجًا شاملًا يركز على البنية التحتية. يُنصح بشدة باتباع استراتيجية الدفاع المتعددة الطبقات التالية:

الطبقة 1: تقوية vSphere وHypervisor

  • تمكين وضع الإغلاق على vSphere
  • فرض execInstalledOnly
  • استخدام تشفير VM
  • قم بإيقاف تشغيل الأجهزة الافتراضية غير المستخدمة أو القديمة.
  • تأمين وتدريب فريق المساعدة ضد تكتيكات انتحال الشخصية.

الطبقة الثانية: حماية الهوية والوصول

  • تنفيذ مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي.
  • فصل البنية التحتية للهوية الحرجة.
  • تجنب اعتماد المصادقة الدائرية التي يمكن للمهاجمين استغلالها.

الطبقة 3: المراقبة وعزل النسخ الاحتياطي

  • مركزية مراقبة السجلات من البنية التحتية الرئيسية.
  • عزل النسخ الاحتياطية عن الوصول إلى Active Directory.
  • تأكد من أن النسخ الاحتياطية غير قابلة للوصول إليها حتى بالنسبة لحسابات المسؤول المخترقة.

    • الخلاصة: عصر جديد من مخاطر برامج الفدية

    تُشكل برامج الفدية التي تستهدف نظام vSphere البيئي، وخاصةً مضيفات ESXi وخادم vCenter، تهديدًا خطيرًا نظرًا لقدرتها على إحداث خلل سريع وواسع النطاق. تُبرز طبيعة عمليات Scattered Spider المُدروسة ضرورة إعادة النظر في إجراءات الحماية التي تتخذها المؤسسات. إن تجاهل هذه المخاطر أو تأخير تطبيق التدابير الوقائية المُوصى بها قد يؤدي إلى عواقب وخيمة، تشمل توقفًا حادًا عن العمل وفقدانًا للبيانات وأضرارًا مالية.

    الشائع

    الأكثر مشاهدة

    البرمجيات الخبيثة

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    35,973
    رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
    جار التحميل...