كشفت شركة Dataminr أن مجموعة Scattered LAPSUS$ Hunters (SLH)، وهي تحالف يضم LAPSUS$ وScattered Spider وShinyHunters، بدأت حملة لتجنيد نساء مقابل مبالغ تتراوح بين 500 و1,000 دولار لكل مكالمة لتنفيذ هجمات تصيّد صوتي (Vishing) تستهدف مكاتب الدعم الفني. المجموعة توفر نصوصاً مكتوبة مسبقاً للمجندات بهدف انتحال هوية موظفين وإقناع فرق الدعم بإعادة تعيين كلمات مرور أو تثبيت أدوات مراقبة عن بُعد تمنح المهاجمين وصولاً كاملاً إلى الأنظمة.
أساليب الاختراق والتصعيد
تاريخياً، تعتمد المجموعة على تقنيات مثل MFA prompt bombing وSIM swapping لتجاوز أنظمة المصادقة متعددة العوامل. بعد الحصول على وصول أولي، يقوم عناصر Scattered Spider بالتحرك داخل الشبكات الافتراضية، تصعيد الامتيازات، وسرقة بيانات حساسة. بعض الهجمات تطورت لاحقاً إلى نشر برمجيات فدية. كما يستخدم المهاجمون خدمات شرعية مثل شبكات البروكسي السكنية (Luminati وOxyLabs) وأدوات نفق مثل Ngrok وTeleport وPinggy، إضافة إلى منصات مشاركة الملفات المجانية مثل mega.nz وtransfer.sh، لتجنب الكشف والاندماج في حركة المرور الطبيعية.
أمثلة على الهجمات السابقة
في سبتمبر 2025، تمكنت المجموعة من الحصول على بيانات اعتماد مميزة عبر مكالمة إلى مكتب الدعم الفني، ثم أنشأت جهازاً افتراضياً لإجراء استطلاع شامل، بما في ذلك فحص Active Directory ومحاولة استخراج ملفات البريد الإلكتروني من Outlook وبيانات من قاعدة Snowflake. كما رصدت تقارير من Unit 42 التابعة لشركة Palo Alto Networks أن المجموعة تستهدف بيئات Microsoft Azure باستخدام واجهة Graph API وأدوات مثل ADRecon.
دوافع التجنيد الجديدة والتحذيرات الأمنية
وفقاً لـ Dataminr، فإن استهداف أصوات نسائية في هذه الحملة يمثل تطوراً محسوباً في تكتيكات المجموعة، إذ تسعى إلى تجاوز الأنماط التقليدية التي قد يكون موظفو الدعم مدرَّبين على التعرف عليها. هذا يعزز فرص نجاح الانتحال الصوتي ويزيد من خطورة الهجمات. الخبراء ينصحون المؤسسات بتدريب فرق الدعم الفني على رصد النصوص المعدة مسبقاً، تعزيز سياسات التحقق من الهوية، الابتعاد عن الاعتماد على الرسائل النصية في المصادقة متعددة العوامل، ومراجعة سجلات الإنشاءات الجديدة أو تصعيد الامتيازات بعد أي تفاعل مع مكاتب الدعم.
