🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

الهجمات الإلكترونية على البنية التحتية الافتراضية: تهديدات جديدة تستهدف القطاعات الحيوية في أمريكا الشمالية

2–3 minutes

في ظل تصاعد التهديدات الإلكترونية، برزت مجموعة الجريمة الإلكترونية المعروفة باسم “سكاتر سبايدر” (Scattered Spider) كواحدة من أبرز المجموعات التي تستهدف البنية التحتية الافتراضية للشركات في قطاعات التجزئة، الطيران، والنقل في أمريكا الشمالية. تستخدم هذه المجموعة أساليب متطورة تعتمد على الهندسة الاجتماعية بدلاً من استغلال برامج الثغرات، مما يجعلها تشكل تهديدًا حقيقيًا للأمن السيبراني.

تكتيكات متطورة للهندسة الاجتماعية

وفقًا لتحليل شامل قدمته شركة “مانديانت” التابعة لجوجل، تعتمد “سكاتر سبايدر” على نهج دقيق ومخطط له بعناية لاستهداف الأنظمة الأكثر حساسية في المؤسسات. يتمثل جزء كبير من استراتيجيتها في استخدام مكالمات هاتفية إلى مكاتب الدعم الفني لخداع الموظفين وتجاوز برامج الأمن المتقدمة.

تشتهر هذه المجموعة، التي تُعرف أيضًا بأسماء أخرى مثل “0كتابوس” (0ktapus) و”مادلد ليبرا” (Muddled Libra)، باستغلالها للأنظمة الإدارية الموثوقة والتحكم في الدليل النشط (Active Directory) للتمكن من الوصول إلى بيئة “في إم وير في سفيير” (VMware vSphere). تعتبر هذه التقنية فعالة للغاية حيث أنها تتجاوز أدوات الأمان وتترك بصمات قليلة لاكتشافها.

مراحل الهجوم وآثاره

يتكون سلسلة الهجوم من خمس مراحل رئيسية:

  • الاختراق الأولي وجمع المعلومات وتصعيد الامتيازات، حيث يتم جمع المعلومات المتعلقة بتوثيق تكنولوجيا المعلومات، وأدلة الدعم، والمخططات التنظيمية.
  • التحول إلى البيئة الافتراضية باستخدام بيانات اعتماد الدليل النشط للوصول إلى خادم “في إم وير في سنتر سيرفر” (vCSA).
  • تمكين اتصالات SSH على مضيفات ESXi وإعادة تعيين كلمات مرور الجذر وتنفيذ هجمات “تبادل القرص” لاستخراج قاعدة بيانات “NTDS.dit” للدليل النشط.
  • استغلال الوصول لحذف مهام النسخ الاحتياطي واللقطات والمستودعات لتعطيل استعادة البيانات.
  • استخدام الوصول عبر SSH لدفع الفدية المخصصة عبر SCP/SFTP.

التحديات والحلول المقترحة

تتطلب تهديدات مثل تلك التي تشكلها “سكاتر سبايدر” إعادة التفكير في استراتيجيات الدفاع الحالية. توصي جوجل بضرورة التحول من البحث عن التهديدات القائمة على “EDR” إلى دفاعات بنية تحتية استباقية. من بين الإجراءات الموصى بها:

  • تمكين وضع الإغلاق لبيئة “في سفيير”، وتفعيل التشفير للآلات الافتراضية (VMs)، وتحديث الأنظمة القديمة.
  • تنفيذ المصادقة متعددة العوامل المقاومة للتصيد (MFA)، وعزل البنية التحتية للهوية الحرجة.
  • مركزية ومراقبة السجلات الرئيسية، وعزل النسخ الاحتياطية عن الدليل النشط الإنتاجي.

مع اقتراب نهاية دعم “في إم وير في سفيير 7” في أكتوبر 2025، تحث جوجل المؤسسات على إعادة تصميم الأنظمة مع مراعاة الأمان لتجنب الهجمات التي قد تؤدي إلى شلل البنية التحتية الافتراضية بالكامل، مما يسبب اضطرابًا في العمليات وخسائر مالية.

دعوة للنقاش

ما هي الإجراءات الأخرى التي يمكن اتخاذها لتعزيز الدفاعات ضد الهجمات الإلكترونية على البنية التحتية الافتراضية؟ شارك آرائك عبر Twitter أو Facebook باستخدام الهاشتاج #أمن_سيبراني.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة