قامت Microsoft بطرح سلسلة من التحسينات المستهدفة عبرها المدافع و الحارس النظام البيئي للأمن السيبراني المصمم لمساعدة عملائه على حراسة إمكانية الوقوع ضحية العنكبوت المتناثر مع استمرار عصابة الإنترنت في تطوير كتابها.
العنكبوت المبعثر – المشار إليه في القياس عن بُعد تهديد Microsoft باسم Octo Tempest – زاد وتيرة نشاطها في أبريل ومايو بهجمات التخريبية تهدف إلى تجار التجزئة في المملكة المتحدة في الشوارع. ثم تحولت إلى استهدافها للذهاب بعد ذلك منظمات التأمين، ثم في أواخر يونيو ، بدا أنه محور لقطاع الطيران ، مع العديد من الضحايا المحتملين الناشئة.
تستخدم العصابة الإلكترونية أساليب مختلفة في هجماتها ، وكما هو الحال قبل أساليبها الأكثر شيوعًا ، تتضمن الوصول إلى الوصول الأولي من خلال هجمات الهندسة الاجتماعية وانتحال المستخدمين لخداع العاملين في مكتب الخدمة من خلال المكالمات الهاتفية ورسائل البريد الإلكتروني والرسائل ، والتصيد القائم على الرسائل القصيرة باستخدام نطاقات الخصم والمواد ، والمهاجمة ، ومحاكاة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة ، وتهجئة التسلط. بيانات exfiltrating لدعم الابتزاز والرانسومواري.
ومع ذلك ، كما رأينا مؤخرًا ، يبدو أن العصابة تفضل استخدامها الآن Dragonforce Ransomware وقد ركز بشكل خاص على بيئات VMware ESX Hypervisor.
علاوة على ذلك ، قالت Microsoft ، على عكس أنماط الهجوم السابقة حيث استغل العنكبوت المتناثر امتيازات الهوية السحابية من أجل الوصول إلى الوصول المحلي ، ويبدو أنها تصل الآن إلى كل من الحسابات والبنية التحتية أثناء المرحلة الأولية من التداخل ، قبل الانتقال إلى الوصول إلى السحابة.
“في الأسابيع الأخيرة ، لاحظت Microsoft OCTO Tempest ، والمعروفة أيضًا باسم Spided Spider ، والتي تؤثر على قطاع شركات الطيران ، بعد النشاط السابق الذي يؤثر على البيع بالتجزئة ، والخدمات الغذائية ، ومنظمات الضيافة ، والتأمين بين أبريل ويوليو 2025” ، قال فريق Microsoft Defender Research في تحديث المدونة.
“هذا يتوافق مع أنماط OCTO Tempest النموذجية للتركيز على صناعة واحدة لعدة أسابيع أو أشهر قبل الانتقال إلى أهداف جديدة. تستمر منتجات أمان Microsoft في تحديث تغطية الحماية مع حدوث هذه التحولات.”
مزيد من المساعدة
لمساعدة عملائها بشكل أفضل ، قامت Microsoft الآن بتحديث نطاق الاكتشافات المتوفرة داخل المدافع ، وامتداد نقاط النهاية ، والهويات ، وتطبيقات البرمجيات كخدمة (SAAS) ، وأدوات البريد الإلكتروني وأدوات التعاون ، وأعباء العمل السحابية.
كما أنه يعزز إمكانات تعطيل الهجوم المدمجة للمدافع-والتي تم وضعها على إشارات متعددة المجالات ، وتهديد جديد Intel ، ونماذج التعلم الآلي المدعوم من الذكاء الاصطناعى لمحاولة التنبؤ وتعطيل الخطوة التالية لممثل التهديد-من خلال احتواء الأصل المعرض للخطر وعزله. قالت Microsoft إنه استنادًا إلى تعلمها من هجمات العنكبوت المبعثرة السابقة ، سيؤدي ذلك أيضًا إلى تعطيل حساب المستخدم الذي تستخدمه العصابة وإلغاء جميع الجلسات النشطة الموجودة التي تم فتحها.
في أماكن أخرى داخل المدافع ، قامت Microsoft بزيادة قدرات الصيد المتقدمة لمساعدة المنظمات على تحديد ودرء هجمات الهندسة الاجتماعية الأكثر عدوانية على الأفراد المتميزين ، حتى إلى حد كبير لتحديد من من المرجح أن يتم استهداف من داخل المنظمة قبل بدء الهجوم.
سيتمكن المحللون من التشكيك في مصادر بيانات الطرف الأول والثالث من خلال Microsoft Defender XDR و Microsoft Sentinel ، بالإضافة إلى الحصول على رؤى التعرض من إدارة التعرض للأمن Microsoftالذي يزيد من الفرق مع قدرات مثل حماية الأصول الحرجة وتحليل مسار الهجوم.
تحتوي إدارة التعرض الآن أيضًا على مبادرات ممثل التهديد لتوحيد الأفكار حول العنكبوت المبعثر لتصلب دفاعاتها والتصرف بشكل أسرع. دليل ميزات المبادرة على تكتيكات وتقنيات وإجراءات العنكبوت المتناثرة الرئيسية (TTPs) ، بالإضافة إلى مبادرة رانسومبرز الأكثر واسعة تركز على تقليل التعرض لهجمات الابتزاز ، والتي توفر أيضًا إرشادات خاصة عنكبوت.
أحدث إرشادات ، التي يمكن قراءتها هنا، يحتوي أيضًا على نصيحة أساسية لأي وجميع المستخدمين لاتخاذها فيما يتعلق بإدارة مواقف أمان السحابة ونقطة النهاية وأمان الهوية.
