في عالم الأمن السيبراني، تعتبر الفخاخ أداة فعالة لصيد المهاجمين. في هذا المقال، نستعرض كيف تمكنت شركة Resecurity من القبض على مهاجمين من مجموعة Scattered Lapsus$ Hunters.
صيد المهاجمين من مجموعة Scattered Lapsus$ في فخ الباحثين الأمنيين
قال باحثون من شركة Resecurity للأمن السيبراني إنهم تمكنوا من القبض على مهاجمين من مجموعة Scattered Lapsus$ Hunters في فخ باستخدام ما وصفته الشركة بأنه “بيانات اصطناعية”.
أعلنت Resecurity عن هذا التطور في 3 يناير كجزء من تحديث لمنشور في ديسمبر يصف كيف قام أحد المهاجمين (ليس بالضرورة مرتبطًا بالمجموعة المذكورة) بالتحقيق في موارد Resecurity بحثًا عن وسيلة للوصول إلى بيانات الشركة الحساسة. بعد تحديد جهود الاستطلاع، قام الباحثون بإنشاء حساب فخ ونجحوا في القبض على المهاجم باستخدام “بيانات اصطناعية”، وهي مجموعة بيانات تبدو واقعية تهدف إلى خداع المهاجم ليعتقد أنه يمكنه استخراج بيانات حقيقية.
استخدم الباحثون مجموعتين من البيانات تمثلان المستهلكين والمعاملات المالية بالإضافة إلى رسائل تم إنشاؤها. ومع ذلك، “في كلتا الحالتين، استخدمنا بيانات مُخترقة معروفة متاحة على الويب المظلم والأسواق السوداء – والتي قد تحتوي على معلومات تعريف شخصية – مما جعل البيانات أكثر واقعية بالنسبة للمهاجمين”، كما كتبوا في المنشور.
أشارت Resecurity إلى أن البيانات المستمدة من المصادر المفتوحة يمكن أن تكون عنصرًا مهمًا لخداع المهاجمين “خصوصًا عندما يكون المهاجم متقدمًا وقد يقوم بإجراء فحوصات مختلفة للتحقق من أن البيانات ليست مزيفة تمامًا”.
“وإلا، فإن هذا قد يؤثر على تكتيكاتهم المستقبلية أو يؤدي إلى توقف كامل لخططهم”، كتب الباحثون. “في سيناريوهاتنا، كان هدفنا هو السماح للمهاجم بالقيام بالنشاط وتزويده ببيانات اصطناعية لمراقبة مسار هجومه وبنيته التحتية. لم تتضمن هذه المهمة استخدام كلمات مرور أو بيانات اعتماد API.”
دخول مجموعة Scattered Lapsus$ Hunters
بعد منشور في 24 ديسمبر، قام محللو Resecurity بتحديث مقالتهم لتوضيح كيف سقط أفراد من مجموعة Scattered Lapsus$ Hunters، المعروفة أيضًا باسم ShinyHunters، في أحد فخاخ الشركة.
تسمى المجموعة بهذا الاسم بسبب التداخل بين مجموعات التهديد Lapsus$ وShinyHunters وScattered Spider؛ جميعها مرتبطة بـ “The Com”، وهو نظام إجرامي سيبراني يديره في الغالب ممثلون أصغر سنًا (بما في ذلك المراهقون) يتحدثون الإنجليزية.
وفقًا لتحديث المدونة، تفاخر الفريق باختراق Resecurity وأظهر لقطات شاشة من الفخ.
“تتعلق لقطات الشاشة التي شاركها المهاجمون بـ ‘[honeytrap].b.idp.resecurity.com’ (نظام مُحاكى باستخدام بيانات مخترقة من الويب المظلم وغير مرتبطة بأي عملاء حقيقيين لشركة Resecurity) وتطبيق Mattermost، الذي تم توفيره لحساب الفخ ‘Mark Kelly’ حوالي نوفمبر 2025 لهذا الغرض”، كما جاء في المنشور. “اعترف الفريق بأن جهود Resecurity عطلت عملياتهم. استخدم فريقنا الهندسة الاجتماعية للحصول على بيانات من المجموعة وتتبع نشاطهم.”
أسئلة تظل حول البيانات الاصطناعية
بينما تعتبر البيانات الاصطناعية أداة مثيرة لجذب المهاجمين، فإن استخدام بيانات مسروقة حقيقية – سواء كانت قديمة أو متاحة للجمهور أم لا – يثير تساؤلات حول ما إذا كانت هذه البيانات حقًا من حق الباحث تقديمها لمهاجم في المقام الأول. تواصلت Dark Reading مع Resecurity للحصول على مزيد من التفاصيل.
قال متحدث باسم فريق Resecurity HUNTER إنه من أجل خداع المهاجم بنجاح، يجب أن تتضمن الفخاخ “بيانات ‘مزيفة’ وأخرى ‘حقيقية’ (لكن غير قابلة للتنفيذ)، بحيث يصبح المهاجم مرتبكًا ولا يستطيع التمييز بينها”.
وأضاف المتحدث أن Resecurity “ليس لديها مخاوف أخلاقية بشأن هذا النهج” حيث “لا يعمل المهاجمون تحت قيود أخلاقية عند القيام بأنشطة خبيثة على نطاق واسع”.
“البيانات المستخدمة إما مُخترقة بالفعل ومتاحة على الويب المظلم أو متاحة للجمهور على الويب السطحي. لم يتم استخدام أي بيانات عملاء في حالتنا”، كما يقول المتحدث.
تستمر الأسئلة حول الأخلاقيات المرتبطة باستخدام البيانات الاصطناعية في أبحاث الأمن السيبراني، ولكن جهود Resecurity تمثل خطوة مهمة نحو فهم سلوك المهاجمين.
