Scattered Spider تستهدف VMware ESXi لنشر برامج الفدية

مجموعة Scattered Spider تستهدف VMware ESXi لنشر برامج الفدية على البنية التحتية الحيوية في الولايات المتحدة

تستهدف مجموعة الجرائم الإلكترونية الشهيرة المعروفة باسم Scattered Spider أنظمة VMware ESXi في هجمات تستهدف قطاعات التجزئة والطيران والنقل في أمريكا الشمالية.

قال فريق Mandiant من جوجل في تحليل شامل: “تظل الأساليب الأساسية للمجموعة ثابتة ولا تعتمد على استغلالات البرمجيات. بدلاً من ذلك، يستخدمون دليلًا مثبتًا يعتمد على المكالمات الهاتفية إلى مكتب المساعدة في تقنية المعلومات.”

“المهاجمون عدوانيون ومبدعون، وماهرون بشكل خاص في استخدام الهندسة الاجتماعية لتجاوز حتى برامج الأمان الناضجة. هجماتهم ليست عشوائية، بل هي عمليات مدفوعة بحملات دقيقة تستهدف الأنظمة والبيانات الأكثر أهمية في المنظمة.”

أساليب الهجوم

تُعرف مجموعة Scattered Spider أيضًا باسم 0ktapus وMuddled Libra وOcto Tempest وUNC3944، ولديهم تاريخ في تنفيذ هجمات متقدمة باستخدام الهندسة الاجتماعية للحصول على وصول أولي إلى بيئات الضحايا، ثم اعتماد نهج “العيش على الأرض” (LotL) من خلال التلاعب بالأنظمة الإدارية الموثوقة واستغلال سيطرتهم على Active Directory للانتقال إلى بيئة VMware vSphere.

قالت جوجل إن هذه الطريقة، التي توفر مسارًا لاستخراج البيانات ونشر برامج الفدية مباشرة من الهيبرفايزر، “فعالة للغاية”، حيث تتجاوز أدوات الأمان وتترك آثارًا قليلة من الاختراق.

سلسلة الهجوم

تتكون سلسلة الهجوم من خمس مراحل متميزة:

• الاختراق الأولي، الاستطلاع، وتصعيد الامتيازات، مما يسمح للمهاجمين بجمع معلومات تتعلق بالوثائق التقنية، أدلة الدعم، مخططات المنظمة، ومديري vSphere، بالإضافة إلى تعداد بيانات الاعتماد من مديري كلمات المرور مثل HashiCorp Vault أو حلول إدارة الوصول المتميز الأخرى. وقد وُجد أن المهاجمين يقومون بإجراء مكالمات إضافية إلى مكتب المساعدة في تقنية المعلومات للشركة لتقمص شخصية مسؤول عالي القيمة وطلب إعادة تعيين كلمة المرور للسيطرة على الحساب.
• الانتقال إلى البيئة الافتراضية باستخدام بيانات اعتماد Active Directory المخصصة لـ vSphere والوصول إلى VMware vCenter Server Appliance (vCSA)، وبعد ذلك يتم تنفيذ عملية “التنقل” لإنشاء قشرة عكسية مشفرة ودائمة تتجاوز قواعد جدار الحماية.
• تمكين اتصالات SSH على مضيفي ESXi وإعادة تعيين كلمات مرور الجذر، وتنفيذ ما يُعرف بهجوم “تبديل القرص” لاستخراج قاعدة بيانات NTDS.dit من Active Directory. يعمل الهجوم عن طريق إيقاف تشغيل آلة افتراضية (VM) لمتحكم المجال (DC) وفصل قرصه الافتراضي، ثم إعادة توصيله بآلة افتراضية أخرى غير مراقبة تحت سيطرتهم. بعد نسخ ملف NTDS.dit، يتم عكس العملية بالكامل ويتم تشغيل DC مرة أخرى.
• تسليح الوصول لحذف مهام النسخ الاحتياطي، واللقطات، والمستودعات لمنع الاسترداد.
• استخدام الوصول SSH إلى مضيفي ESXi لدفع ثنائي برامج الفدية المخصص عبر SCP/SFTP.

قالت جوجل إن “دليل UNC3944 يتطلب تحولًا أساسيًا في استراتيجية الدفاع، من البحث عن التهديدات المعتمد على EDR إلى الدفاع الاستباقي المركز على البنية التحتية”. “هذا التهديد يختلف عن برامج الفدية التقليدية في نقطتين: السرعة والسرية.”

كما أشارت الشركة التقنية إلى “سرعة المهاجمين الشديدة”، حيث يمكن أن تتم سلسلة العدوى بالكامل من الوصول الأولي إلى استخراج البيانات ونشر برامج الفدية في غضون بضع ساعات.

وفقًا لشبكة Palo Alto Networks Unit 42، أصبح ممثلو Scattered Spider بارعين ليس فقط في الهندسة الاجتماعية، ولكن أيضًا قد تعاونوا مع برنامج الفدية DragonForce (المعروف أيضًا باسم Slippery Scorpius)، حيث تم في إحدى الحالات استخراج أكثر من 100 جيجابايت من البيانات خلال فترة يومين.

تدابير الحماية

للتصدي لمثل هذه التهديدات، يُنصح المنظمات باتباع ثلاث طبقات من الحماية:

• تمكين وضع الإغلاق في vSphere، فرض execInstalledOnly، استخدام تشفير VM في vSphere، إلغاء تفعيل الآلات الافتراضية القديمة، وتقوية مكتب المساعدة.
• تنفيذ مصادقة متعددة العوامل (MFA) المقاومة للتصيد، عزل البنية التحتية الهويات الحرجة، وتجنب حلقات المصادقة.
• مركزة ومراقبة السجلات الرئيسية، عزل النسخ الاحتياطية عن Active Directory الإنتاجية، والتأكد من أنها غير قابلة للوصول إلى مسؤول مخترق.

تدعو جوجل أيضًا المنظمات إلى إعادة تصميم النظام مع مراعاة الأمان عند الانتقال من VMware vSphere 7، حيث يقترب من نهاية عمره (EoL) في أكتوبر 2025.

قالت جوجل: “تشكل برامج الفدية المستهدفة على بنية vSphere التحتية، بما في ذلك كل من مضيفي ESXi وvCenter Server، خطرًا شديدًا بشكل فريد بسبب قدرتها على التسبب في شلل فوري وواسع النطاق في البنية التحتية.”

“سوف يؤدي الفشل في معالجة هذه المخاطر المتصلة بشكل استباقي من خلال تنفيذ هذه التخفيفات الموصى بها إلى ترك المنظمات معرضة لهجمات مستهدفة يمكن أن تعطل بسرعة بنيتها الافتراضية بالكامل، مما يؤدي إلى اضطراب العمليات وخسائر مالية.”