Scattered Spider is now targeting airlines

تحذير من مكتب التحقيقات الفيدرالي: توسّع هجمات Scattered Spider على قطاع الطيران باستخدام الهندسة الاجتماعية

نظرة عامة على التهديد

كشف مكتب التحقيقات الفيدرالي الأمريكي (FBI) عن توسّع مجموعة القرصنة Scattered Spider في استهداف قطاع الطيران، معتمدين على تقنيات الهندسة الاجتماعية للوصول إلى أنظمة الشركات، خاصةً من خلال التحايل على مكاتب الدعم الفني.

تكتيكات متطورة تتجاوز المصادقة متعددة العوامل

• يقوم المهاجمون بانتحال صفة موظفين أو متعاقدين لإقناع فرق الدعم الفني بإضافة أجهزة MFA غير مصرح بها إلى الحسابات المخترقة.
• يستهدفون أيضًا مزودي خدمات تكنولوجيا المعلومات الخارجيين للوصول إلى مؤسسات كبيرة.
• يؤدي هذا إلى سرقة بيانات، وابتزاز، وهجمات فدية.

توصيات لتعزيز الحماية

نصحت شركات مثل Mandiant بضرورة تشديد آليات التحقق من الهوية في مكاتب الدعم الفني قبل تنفيذ إجراءات مثل إعادة تعيين كلمات المرور، أو إضافة أجهزة جديدة إلى MFA، أو تزويد الموظفين بمعلومات حساسة قد تُستغل لاحقًا.

سلوكيات هجومية دقيقة تستهدف القيادات العليا

• تمكنت المجموعة من اختراق حساب المدير المالي لإحدى الشركات من خلال جمع معلومات حساسة عنه وتنفيذ مكالمة مقنعة للدعم الفني.
• استُخدمت هذه البيانات لتجاوز عملية الدخول وإعادة تعيين MFA.
• تم الاستيلاء على أنظمة الشركة من خلال تسلسل تصعيدي من الهجمات يشمل الوصول إلى بيئة Azure وVMware وSharePoint، وسرقة بيانات حساسة من خزانة كلمات مرور CyberArk.
• اتبعت المجموعة استراتيجية "الأرض المحروقة" بعد اكتشاف وجودها، حيث قامت بتخريب سياسات جدار الحماية لإحداث أضرار تشغيلية فورية.

خصائص مجموعة Scattered Spider

تعمل المجموعة ضمن شبكة غير منظمة تُعرف باسم "The Com"، تضم أيضًا مجموعات مثل LAPSUS$. يُعتقد أنها نشطة منذ عام 2021، وتركّز على تقنيات مثل التصيّد الصوتي (vishing)، وتبديل شرائح SIM، والتلاعب بمكاتب الدعم.

الاستنتاج والتوصيات

• يجب أن تدرك المؤسسات أن التهديدات الحديثة لا تقتصر على البرمجيات الخبيثة، بل تشمل استغلال الثقة البشرية.
• ضرورة تدريب فرق الدعم الفني على سيناريوهات واقعية للهندسة الاجتماعية.
• إعادة تقييم وتحديث عمليات التحقق من الهوية بشكل شامل، خاصة عند التعامل مع حسابات ذات امتيازات عالية.