شنت مجموعة الجرائم السيبرانية سيئة السمعة المعروفة باسم Scattered Spider هجمات على خوادم VMware ESXi، استهدفت من خلالها قطاعات التجزئة والطيران والنقل في أمريكا الشمالية.
وأفاد فريق Mandiant التابع لشركة Google في تحليل موسع أن “تكتيكات المجموعة الأساسية ظلت ثابتة ولا تعتمد على استغلال البرمجيات، بل تستخدم أسلوبًا مثبتًا يعتمد على إجراء مكالمات هاتفية إلى مكاتب الدعم الفني”. وأضاف الفريق أن “هؤلاء الفاعلين يتمتعون بالعدوانية والابتكار ومهارة استثنائية في استخدام الهندسة الاجتماعية لتجاوز حتى أكثر برامج الأمن نضجًا، حيث تتم هجماتهم بشكل دقيق ومنهجي وليس عشوائيًا، وتهدف إلى الأنظمة والبيانات الأكثر حساسية في المؤسسة”.
اختراق منظم باستخدام الهندسة الاجتماعية والبنية الافتراضية
تعرف المجموعة أيضًا بأسماء أخرى مثل 0ktapus وMuddled Libra وOcto Tempest وUNC3944، ولها سجل حافل في تنفيذ هجمات هندسة اجتماعية متقدمة للحصول على الوصول الأولي إلى بيئات الضحايا. بعد ذلك، تعتمد على أسلوب “العيش من موارد النظام” (LotL) عبر استغلال الأنظمة الإدارية الموثوقة والتحكم في خدمات Active Directory للوصول إلى بيئة VMware vSphere.
وبحسب Google، فإن هذا النهج يتيح للمهاجمين استخراج البيانات ونشر برمجيات الفدية مباشرة من مستوى الـ hypervisor، وهو ما يُعد فعالًا للغاية لأنه يتجاوز أدوات الحماية ويترك آثارًا قليلة للاختراق.
سلسلة الهجوم: خمس مراحل منظمة
يتكون الهجوم من خمس مراحل رئيسية:
-
الاختراق الأولي والاستطلاع وتصعيد الصلاحيات: يجمع المهاجمون خلال هذه المرحلة مستندات الدعم الفني والخرائط التنظيمية ومعلومات مديري vSphere، ويقومون بتعداد بيانات الاعتماد من مديري كلمات المرور مثل HashiCorp Vault أو أنظمة إدارة الوصول المميز (PAM). ويجرون مكالمات إضافية إلى الدعم الفني لانتحال شخصية مسؤول رفيع وطلب إعادة تعيين كلمة المرور.
-
التحول إلى البيئة الافتراضية: يتم ذلك عبر ربط بيانات اعتماد Active Directory ببيئة vSphere، ثم الوصول إلى خادم VMware vCenter (vCSA)، حيث يُنفذ المهاجم أداة teleport لإنشاء قناة عكسية مشفرة ودائمة تتجاوز قواعد الجدار الناري.
-
الوصول إلى خوادم ESXi: يتم تفعيل الاتصال عبر SSH وإعادة تعيين كلمة مرور root، وتنفيذ ما يُعرف بهجوم “تبديل الأقراص”، حيث يُغلق جهاز التحكم بالنطاق (DC) ويفصل قرصه الافتراضي، ثم يُربط بجهاز افتراضي خاضع لسيطرة المهاجم لاستخراج قاعدة بيانات Active Directory (NTDS.dit)، قبل إعادة كل شيء إلى وضعه الطبيعي.
-
تعطيل القدرة على الاستعادة: يتم حذف مهام النسخ الاحتياطي واللقطات (snapshots) والمستودعات لتقويض أي محاولات استرجاع للبيانات.
-
نشر برمجية الفدية: باستخدام الوصول عبر SSH، يقوم المهاجم بدفع برمجية فدية مخصصة إلى خوادم ESXi عبر بروتوكولات SCP/SFTP.
سرعة وتخفي تهدد الدفاعات التقليدية
أشارت Google إلى أن “أسلوب UNC3944 يتطلب تحولًا جذريًا في استراتيجيات الدفاع، بعيدًا عن الاعتماد على أدوات اكتشاف النقاط النهائية (EDR)، نحو دفاعات تركز على البنية التحتية”. وأضافت أن “هذا التهديد يختلف عن هجمات الفدية التقليدية من حيث السرعة والتخفي”، حيث يمكن أن تستغرق العملية من الوصول الأولي حتى استخراج البيانات ونشر الفدية بضع ساعات فقط.
شراكات هجومية وسرقة ضخمة للبيانات
وبحسب وحدة Unit 42 التابعة لشركة Palo Alto Networks، فإن مجموعة Scattered Spider لم تبرع فقط في الهندسة الاجتماعية، بل تعاونت أيضًا مع برنامج الفدية DragonForce (المعروف أيضًا باسم Slippery Scorpius)، وتمكنت في إحدى الحالات من استخراج أكثر من 100 جيجابايت من البيانات خلال يومين فقط.
توصيات دفاعية متعددة المستويات
دعت الجهات الأمنية المؤسسات إلى اتباع ثلاث طبقات من الحماية لصد هذا النوع من التهديدات:
-
تعزيز بيئة vSphere: عبر تفعيل وضع الإغلاق، فرض execInstalledOnly، استخدام التشفير، إيقاف الأجهزة الافتراضية القديمة، وتشديد إجراءات الدعم الفني.
-
تعزيز الهوية والمصادقة: من خلال استخدام مصادقة متعددة العوامل مقاومة للتصيد، عزل البنية التحتية الحساسة للهوية، وتجنب حلقات التوثيق.
-
الرقابة على السجلات والنسخ الاحتياطية: عبر مركزية تسجيل الدخول، عزل النسخ الاحتياطية عن Active Directory الإنتاجي، والتأكد من أنها غير متاحة للمسؤولين المخترقين.
كما حثت Google المؤسسات على إعادة هيكلة أنظمتها مع وضع الأمن في الاعتبار، خاصة عند الانتقال من VMware vSphere 7 الذي يقترب من نهاية عمره التشغيلي في أكتوبر 2025.
وقالت الشركة: “تُشكل برمجيات الفدية التي تستهدف بنية vSphere، بما في ذلك خوادم ESXi وخوادم vCenter، تهديدًا فريدًا وخطيرًا لقدرتها على شل البنية التحتية على نطاق واسع وبشكل فوري”، مضيفة أن “الفشل في اتخاذ التدابير الوقائية المقترحة سيترك المؤسسات مكشوفة لهجمات دقيقة قادرة على شل بنيتها الافتراضية بالكامل، مما يؤدي إلى اضطرابات تشغيلية وخسائر مالية جسيمة”.
