استهداف Scattered Spider لـ VMware ESXi: تهديدات برامج الفدية للبنية التحتية الحيوية

مجموعة Scattered Spider تستهدف VMware ESXi لنشر برامج الفدية على البنية التحتية الحيوية في الولايات المتحدة

تستهدف مجموعة الجرائم الإلكترونية المعروفة باسم Scattered Spider أجهزة VMware ESXi في هجمات تستهدف قطاعات التجزئة والطيران والنقل في أمريكا الشمالية.

قال فريق Mandiant من Google في تحليل شامل: “تظل تكتيكات المجموعة الأساسية ثابتة ولا تعتمد على استغلالات البرمجيات. بدلاً من ذلك، يستخدمون خطة مثبتة تركز على المكالمات الهاتفية إلى مكتب الدعم الفني لتكنولوجيا المعلومات.”

“المهاجمون عدوانيون، مبدعون، وماهرون بشكل خاص في استخدام الهندسة الاجتماعية لتجاوز حتى برامج الأمان الناضجة. هجماتهم ليست عشوائية، بل هي عمليات دقيقة مدفوعة بالحملات تستهدف الأنظمة والبيانات الأكثر أهمية في المنظمة.”

تُعرف المجموعة أيضًا باسم 0ktapus وMuddled Libra وOcto Tempest وUNC3944، ولديها تاريخ في تنفيذ هجمات هندسية اجتماعية متقدمة للحصول على الوصول الأولي إلى بيئات الضحايا، ثم اعتماد نهج “العيش على الأرض” (LotL) عن طريق التلاعب بالأنظمة الإدارية الموثوقة واستغلال السيطرة على Active Directory للانتقال إلى بيئة VMware vSphere.

قالت Google إن الطريقة التي توفر مسارًا لاستخراج البيانات ونشر برامج الفدية مباشرة من الهيبرفايزر هي “فعالة للغاية”، حيث تتجاوز أدوات الأمان وتترك آثارًا قليلة من الاختراق.

سلسلة الهجوم

تت unfold سلسلة الهجوم على خمسة مراحل متميزة:

• الاختراق الأولي، الاستطلاع، وزيادة الامتيازات، مما يسمح للمهاجمين بجمع المعلومات المتعلقة بالوثائق الفنية، وأدلة الدعم، ومخططات المنظمة، ومديري vSphere، بالإضافة إلى تعداد بيانات الاعتماد من مديري كلمات المرور مثل HashiCorp Vault أو حلول إدارة الوصول المتميز (PAM). وقد وُجد أن المهاجمين يقومون بإجراء مكالمات إضافية إلى مكتب الدعم الفني للشركة لتقمص شخصية مسؤول عالي القيمة وطلب إعادة تعيين كلمة المرور للسيطرة على الحساب.
• الانتقال إلى البيئة الافتراضية باستخدام بيانات اعتماد Active Directory المرسومة إلى vSphere والوصول إلى جهاز VMware vCenter Server Appliance (vCSA)، بعد ذلك يتم تنفيذ teleport لإنشاء قشرة عكسية مشفرة ودائمة تتجاوز قواعد جدار الحماية.
• تمكين اتصالات SSH على مضيفي ESXi وإعادة تعيين كلمات مرور الجذر، وتنفيذ ما يسمى بهجوم “تبديل القرص” لاستخراج قاعدة بيانات Active Directory NTDS.dit. يعمل الهجوم عن طريق إيقاف تشغيل آلة افتراضية (VM) لخادم المجال (DC) وفصل قرصه الافتراضي، فقط لتوصيله بآلة افتراضية أخرى غير مراقبة تحت سيطرتهم. بعد نسخ ملف NTDS.dit، يتم عكس العملية بالكامل ويتم تشغيل DC مرة أخرى.
• تسليح الوصول لحذف وظائف النسخ الاحتياطي، واللقطات، والمستودعات لمنع الاسترداد.
• استخدام الوصول عبر SSH إلى مضيفي ESXi لدفع ثنائي برامج الفدية المخصص عبر SCP/SFTP.

قالت Google إن “دليل UNC3944 يتطلب تحولًا أساسيًا في استراتيجية الدفاع، ينتقل من صيد التهديدات المعتمد على EDR إلى الدفاع الاستباقي الذي يركز على البنية التحتية.” وأشارت إلى أن هذا التهديد يختلف عن برامج الفدية التقليدية في نقطتين: السرعة والسرية.

كما أشارت الشركة العملاقة إلى “سرعة المهاجمين الشديدة”، حيث يمكن أن تتم تسلسل الإصابة بالكامل من الوصول الأولي إلى استخراج البيانات ونشر برامج الفدية النهائية في فترة زمنية قصيرة لا تتجاوز بضع ساعات.

وفقًا لشركة Palo Alto Networks Unit 42، أصبح ممثلو Scattered Spider ليسوا فقط بارعين في الهندسة الاجتماعية، ولكنهم أيضًا تعاونوا مع برنامج برامج الفدية DragonForce (المعروف أيضًا باسم Slippery Scorpius)، حيث تم في إحدى الحالات استخراج أكثر من 100 جيجابايت من البيانات خلال فترة يومين.

تدابير الحماية

للتصدي لمثل هذه التهديدات، يُنصح المنظمات باتباع ثلاث طبقات من الحماية:

• تفعيل وضع قفل vSphere، فرض execInstalledOnly، استخدام تشفير VM في vSphere، إلغاء تشغيل الآلات الافتراضية القديمة، تعزيز مكتب الدعم الفني.
• تنفيذ مصادقة متعددة العوامل (MFA) المقاومة للتصيد، عزل البنية التحتية الهويات الحيوية، وتجنب حلقات المصادقة.
• مركزية ومراقبة السجلات الرئيسية، عزل النسخ الاحتياطية عن Active Directory الإنتاجية، والتأكد من أنها غير قابلة للوصول إلى مسؤول مخترق.

تدعو Google أيضًا المنظمات إلى إعادة هندسة النظام مع مراعاة الأمان عند الانتقال من VMware vSphere 7، حيث يقترب من نهاية عمره (EoL) في أكتوبر 2025.

“تشكل برامج الفدية المستهدفة للبنية التحتية vSphere، بما في ذلك كل من مضيفي ESXi وvCenter Server، خطرًا شديدًا بشكل فريد نظرًا لقدرتها على التسبب في شلل فوري وواسع النطاق للبنية التحتية،” قالت Google.

“سيفضي الفشل في معالجة هذه المخاطر المتداخلة بشكل استباقي من خلال تنفيذ هذه التخفيفات الموصى بها إلى ترك المنظمات معرضة لهجمات مستهدفة يمكن أن تعطل بسرعة بنيتها الافتراضية بالكامل، مما يؤدي إلى اضطراب العمليات وفقدان مالي.”