MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

Scattered Spider Hackers Target VMware ESXi to Attack Critical Infrastructure

هاكرز سكاترد سبايدر يستخدمون الهندسة الاجتماعية لاختراق أنظمة VMware ESXi ونشر برمجيات الفدية على البنية التحتية الحيوية في أمريكا الشمالية.


هاكرز "سكاترد سبايدر" يستولون على أنظمة VMware ESXi لنشر برمجيات الفدية ضد البنية التحتية الحيوية في الولايات المتحدة

28 يوليو 2025 | مايسترو نيرو - قسم الأمن السيبراني

تستهدف مجموعة القرصنة المعروفة باسم "سكاترد سبايدر" أنظمة تشغيل VMware ESXi في هجمات تطال قطاعات التجزئة والخطوط الجوية والنقل في أمريكا الشمالية، في خطوة تُعدّ تطورًا خطيرًا في أساليب الهجمات السيبرانية ضد البنية التحتية الحيوية.

وأفاد فريق "مانديانت" التابع لشركة جوجل في تحليل موسّع أن "أساليب المجموعة ظلت متماسكة ولا تعتمد على ثغرات برمجية، بل تعتمد على نهجٍ مثبت يركّز على إجراء مكالمات هاتفية إلى مراكز دعم تقنية المعلومات".

وأضاف الفريق: "الهاكرز أقوياء، مبدعون، وذوو كفاءة عالية في استخدام الهندسة الاجتماعية للتحايل على حتى أكثر البرامج الأمنية نضجًا. إن هجماتهم ليست عشوائية، بل عمليات مدروسة ومحسوبة تهدف إلى استهداف الأنظمة والبيانات الأكثر أهمية داخل المنظمة".

تُعرف هذه المجموعة أيضًا بأسماء 0ktapus وMuddled Libra وOcto Tempest وUNC3944، ولها سجل حافل في تنفيذ هجمات متقدمة تعتمد على الهندسة الاجتماعية للحصول على دخول أولي إلى بيئات الضحايا، ثم اعتماد أسلوب "العيش من الأرض" (Living-off-the-Land) من خلال التلاعب بأنظمة الإدارة الموثوقة واستغلال سيطرتهم على خدمة Active Directory للانتقال إلى بيئة VMware vSphere.

وأشارت جوجل إلى أن هذه الطريقة تمكّن المهاجمين من سرقة البيانات وتوزيع برمجيات الفدية مباشرة من مستوى الـhypervisor، وهي "فعّالة جدًا" لأنها تتفادى أدوات الأمان وتترك آثارًا ضئيلة للخرق.

مراحل سلسلة الهجوم

  • الاختراق الأولي، جمع المعلومات الاستطلاعية، وتصعيد الصلاحيات، حيث يجمع المهاجمون وثائق تقنية، دلائل الدعم، مخططات تنظيمية، ومعلومات حول مدراء vSphere، ويُعدّدون بيانات الاعتماد من أدوات إدارة كلمات المرور مثل HashiCorp Vault أو حلول PAM.
  • الانتقال إلى البيئة الافتراضية باستخدام بيانات الاعتماد المرتبطة بين Active Directory وvSphere، والوصول إلى جهاز VMware vCenter Server Appliance (vCSA)، ثم تنفيذ أداة "Teleport" لإنشاء اتصال عكسي مشفر ومستمر يتجاوز قواعد الجدران النارية.
  • تمكين اتصالات SSH على عقد ESXi، وإعادة تعيين كلمات مرور الجذر، وتنفيذ هجوم "استبدال القرص" (disk-swap) لاستخراج قاعدة بيانات NTDS.dit الخاصة بـActive Directory. يتم ذلك بإيقاف تشغيل ماكينة افتراضية للـDomain Controller، وفصل قرصها، ثم ربطه بماكينة افتراضية أخرى تحت سيطرتهم لنسخ الملف، قبل إعادة كل شيء كما كان.
  • استغلال الوصول للحذف المتعمد لمهام النسخ الاحتياطي، واللقطات (snapshots)، والمستودرات بهدف إعاقة استعادة النظام.
  • استخدام اتصال SSH إلى عقد ESXi لنقل برنامج الفدية المخصص عبر SCP/SFTP وتشفير البيئة الافتراضية بالكامل.
"يتطلب نهج UNC3944 تحوّلًا جوهريًا في الاستراتيجية الدفاعية، من الاعتماد على كشف التهديدات عبر EDR إلى الدفاع المرتكز على البنية التحتية. يختلف هذا التهديد عن برمجيات الفدية التقليدية على ويندوز من ناحيتين: السرعة والتخفي." — جوجل

وأشارت جوجل إلى "السرعة الفائقة" التي يتمتع بها المهاجمون، مشيرة إلى أن دورة الهجوم الكاملة — من الوصول الأولي إلى سرقة البيانات وتثبيت الفدية — يمكن أن تكتمل خلال بضع ساعات فقط.

شراكة خطيرة مع برامج فدية متقدمة

ووفقًا لشركة Palo Alto Networks Unit 42، لم يقتصر تطور مجموعة Scattered Spider على تحسين أساليب الهندسة الاجتماعية فحسب، بل دخلت أيضًا في شراكة مع برنامج الفدية DragonForce (المعروف أيضًا باسم Slippery Scorpius)، حيث نجحت في إحدى الحوادث بسرقة أكثر من 100 جيجابايت من البيانات خلال يومين فقط.

توصيات أمنية حرجة

الطبقة الأولى: تأمين البنية الافتراضية
  • تمكين وضع الإغلاق (Lockdown Mode) في vSphere.
  • فرض سياسة execInstalledOnly لمنع تنفيذ البرامج غير المصرح بها.
  • تشفير ماكينات VM باستخدام تشفير vSphere.
  • إيقاف وتشغيل الماكينات الافتراضية القديمة.
  • تقوية إجراءات مركز الدعم الفني (Help Desk) ضد التحايل الهاتفي.
الطبقة الثانية: حماية الهوية
  • اعتماد مصادقة متعددة العوامل (MFA) مقاومة للتصيد الاحتيالي.
  • عزل البنية التحتية الحرجة للهوية (مثل Active Directory).
  • تجنب حلقات المصادقة التي قد تُستغل لتجاوز الحماية.
الطبقة الثالثة: المراقبة والتعافي
  • تجميع وتحليل السجلات المفتاحية (مثل سجلات vCenter، وActive Directory، وتسجيلات الدخول).
  • عزل النسخ الاحتياطية عن بيئة الإنتاج وActive Directory.
  • التأكد من أن الحسابات المخترقة لا يمكنها الوصول إلى النسخ الاحتياطية.

كما حثّت جوجل المؤسسات على إعادة هندسة أنظمتها مع التركيز على الأمان، خاصة مع اقتراب انتهاء دعم إصدار VMware vSphere 7 في أكتوبر 2025.

"تشكل برمجيات الفدية الموجهة ضد بنية vSphere، بما في ذلك عقد ESXi وvCenter Server، خطرًا استثنائيًا بسبب قدرتها على شل البنية التحتية بشكل فوري وواسع النطاق."

"إذا لم تُتخذ خطوات استباقية لمعالجة هذه المخاطر المترابطة من خلال تنفيذ التدابير الوقائية الموصى بها، فستظل المنظمات عرضة لهجمات مستهدفة يمكن أن تعطل بنيتها الافتراضية بالكامل، مما يؤدي إلى اضطرابات تشغيلية وخسائر مالية فادحة."

تم التعديل في: 28 يوليو 2025