المتصفحات كساحة للهجوم: كيف تعيد مجموعة Scattered Spider صياغة معادلة أمن المؤسسات

مع استمرار المؤسسات في الاعتماد على المتصفحات كمنصة أساسية لتشغيل تطبيقاتها وأعمالها اليومية، تتصاعد التهديدات السيبرانية القادمة من هذا المسار. وتشير الإحصاءات إلى أن أكثر من 80% من الحوادث الأمنية تنشأ من تطبيقات ويب يتم الوصول إليها عبر متصفحات مثل Chrome وEdge وFirefox.
وفي هذا السياق، برزت مجموعة Scattered Spider – المعروفة أيضًا بأسماء UNC3944 وOcto Tempest وMuddled Libra – كلاعب خطير يركز على سرقة البيانات الحساسة مباشرة من بيئة المتصفح، لتتميز بذلك عن مجموعات شهيرة مثل Lazarus وFancy Bear وREvil.

أساليب الهجوم داخل المتصفح

لا تعتمد Scattered Spider على حملات تصيّد جماعية، بل تتبنى استهدافًا دقيقًا يقوم على استغلال الثقة في التطبيقات الأكثر استخدامًا، وسرقة بيانات الاعتماد المحفوظة، والتلاعب ببيئة تشغيل المتصفح. ومن أبرز تقنياتها:

• خدع المتصفح: مثل تقنيات Browser-in-the-Browser (BitB) واستخراج بيانات الملء التلقائي لسرقة كلمات المرور.

• سرقة رموز الجلسات: تجاوز آليات المصادقة متعددة العوامل (MFA) للاستحواذ على الرموز وملفات تعريف الارتباط.

• الملحقات الضارة وحقن جافاسكربت: توصيل حمولات خبيثة عبر إضافات مزيفة أو أساليب تشغيل داخل المتصفح.

• الاستطلاع عبر المتصفح: استخدام واجهات برمجة التطبيقات (APIs) للتجسس على الامتدادات المثبتة ورسم خريطة للأنظمة الداخلية.

استراتيجيات الحماية على مستوى المتصفح

يشدد الخبراء على أن مواجهة مثل هذه الهجمات تتطلب نقل أمن المتصفح من كونه أداة مساندة إلى ركيزة أساسية ضمن استراتيجيات الدفاع السيبراني. ومن أبرز التوصيات:

1. حماية بيانات الاعتماد عبر فحص السكربتات: منع تنفيذ جافاسكربت الخبيث داخل المتصفح واكتشاف الأنماط التي تستهدف كلمات المرور.

2. حماية الجلسات ومنع الاستحواذ على الحسابات: فرض سياسات سياقية تعتمد على هوية المستخدم ووضع الجهاز والثقة في الشبكة.

3. حوكمة الملحقات: السماح فقط بالملحقات الموثوقة ومنع السكربتات غير المعتمدة قبل تشغيلها.

4. تعطيل الاستطلاع دون تعطيل سير العمل: تقليل استغلال واجهات API الحساسة مثل WebRTC وCORS مع الحفاظ على سير العمل السليم.

5. دمج بيانات المتصفح في أنظمة الاستخبارات الأمنية: تغذية منصات SIEM وSOAR وEDR ببيانات نشاط المتصفح لتعزيز الاستجابة للحوادث.

حالات الاستخدام والتأثيرات العملية

تمنح الحماية المدمجة داخل المتصفح المؤسسات فوائد استراتيجية متعددة، منها منع التصيّد وسرقة البيانات، وإدارة ملحقات الويب بفعالية، وتأمين الوصول إلى أدوات الذكاء الاصطناعي التوليدي، ومنع تسرب البيانات، وحماية الأجهزة غير المُدارة (BYOD)، وتعزيز تطبيق مبدأ الثقة الصفرية، وضمان الوصول الآمن إلى تطبيقات SaaS الداخلية.

توصيات للقيادات الأمنية

على قادة الأمن السيبراني (CISOs) أن يقيّموا وضع المخاطر بدقة، ويعتمدوا حلول حماية قادرة على مراقبة السكربتات ورموز الجلسات والملحقات، مع وضع سياسات سياقية صارمة لواجهات الويب. كما يجب دمج بيانات التهديدات المستخرجة من المتصفح ضمن البنية الأمنية الحالية، وتدريب الفرق على أن أمن المتصفح أصبح الآن جزءًا لا يتجزأ من حماية الهوية والوصول.