ربط باحثو الأمن السيبراني جولة جديدة من الهجمات التي استهدفت مؤسسات خدمية ومالية بنواطٍ سيبرانية منفذة من قبل المجموعة المعروفة باسم Scattered Spider، مما يثير علامات استفهام حول صحة إدعاءاتهم بالانسحاب أو التوقف عن النشاط.
استهداف القطاع المالي وخيوط الاختراق
قالت شركة استخبارات التهديدات ReliaQuest إنها رصدت مؤشرات تُظهر تحول تركيز المجموعة نحو القطاع المالي، وظهر ذلك من خلال ارتفاع ملحوظ في نطاقات مشبوهة تشبه نطاقات المجموعة وموجّهة للقطاع المصرفي، بالإضافة إلى حادثة اختراق مستهدفة ضد مؤسسة مصرفية أميركية لم تُكشف هويتها.
وكشفت التحريات أن Scattered Spider حصلت على الوصول الأولي عبر هندسة اجتماعية استهدفت حساب تنفيذي، إذ أعادت تعيين كلمة المرور من خلال نظام إدارة إعادة تعيين كلمات مرور Azure Active Directory Self-Service. من تلك النقطة، تمكّن المهاجمون من الوصول إلى مستندات حساسة تتعلق بتكنولوجيا المعلومات والأمن، والتحرك جانبياً عبر بيئة Citrix وشبكات الـ VPN، ثم تعطيل بنى VMware ESXi لاستخراج بيانات الاعتماد والمزيد من التوغل داخل الشبكة.
أساليب التصعيد والسرقة
لتحقيق تصاعد في الصلاحيات، قام المهاجمون بإعادة تعيين كلمة مرور حساب خدمة Veeam، ومنحوا أنفسهم أذونات Azure Global Administrator، ونقلوا آلات افتراضية كوسيلة لإخفاء آثارهم وتفادي الكشف. كما ظهرت دلائل تُشير إلى محاولات استخراج بيانات من منصات سحابية مثل Snowflake وAmazon Web Services ومستودعات أخرى.
وتُضعف هذه الحوادث التصريحات التي أعلنت أن المجموعة قررت التوقف عن نشاطها إلى جانب 14 مجموعة إجرامية أخرى، مثل LAPSUS$. يُشار إلى أن اسم Scattered Spider يُطلق على كتلة هجمات فضفاضة تنتمي إلى كيان أوسع يُدعى The Com، وتنتشر بينها تداخلات كبيرة مع مجموعات أخرى مثل ShinyHunters وLAPSUS$ إلى درجة أن بعض الباحثين وصفوا التجمعات الثلاثة كـ«scattered LAPSUS$ hunters».
التكامل مع شبكات ابتزاز واستغلال الذكاء الاصطناعي
في تحليل جديد نُشر في 17 سبتمبر 2025، قالت شركة EclecticIQ إن ShinyHunters تعتمد على أعضاء من Scattered Spider وThe Com لتنفيذ حملات احتيال صوتية (vishing) باستخدام منصات مثل Vapi وBland AI، التي تُتيح الوصول غير المصرح به إلى منصات الدخول الموحد (SSO) لدى شركات التجزئة وشركات الطيران والاتصالات.
استُخدمت Bland AI لأتمتة مكالمات الاحتيال صوتياً على نطاق واسع، ما سمح بتوليد حوارات مقنعة تتكيّف مع ردود الضحايا في الوقت الحقيقي، ورفع نسبة نجاح هجمات الهندسة الاجتماعية. تُقدّم هذه المكالمات الصوتية المزيفة مصادقة عالية المصداقية مقارنةً بالرسائل الآلية الثابتة، مما يسهل سرقة بيانات عملاء من تطبيقات مثل Salesforce لاحقًا لابتزاز الضحايا.
وبحسب تقارير متفرقة، استُخدمت أيضًا تقنيات انتحال صفحات تسجيل دخول Okta SSO، واستُغلّت مفاتيح واجهات برمجة تطبيقات مثل BrowserStack API للحصول على وصول إلى بيئات تطوير مؤسسية، إضافةً إلى استغلال ثغرات قديمة في منتجات مثل Oracle Access Manager في هجمات استهدفت بنوكاً وشركات تصنيع.
تُظهر الأدلة كذلك أن مجموعات الابتزاز تبيع قواعد بيانات مسروقة بأسعار باهظة وتنسّق مع شركاء من شبكات الفدية، في إشارة إلى تحول العمليات من مجرد سرقة بيانات إلى اقتصاد إجرامي منسق ومتعدد القنوات.
