لا تزال مجموعة القرصنة العنكبوت المبعثرة في العمل بجد تحسين تكتيكاتها ونشر المتغيرات الجديدة للبرامج الضارة في خدمة هجماتها الإلكترونية المدمرة ، وفقًا لوكالات الأمن السيبراني في الولايات المتحدة وأستراليا وكندا والمملكة المتحدة.
عاد العنكبوت المبعثر إلى الصدارة في وقت سابق من عام 2025 ، في البداية مع جولة من الهجمات الإلكترونية على علامات التجزئة في المملكة المتحدة وسبنسر، Group Co-op و Harrods ، قبل التحويل إلى الأهداف في أمريكا الشمالية ، وضرب متاجر التجزئة وشركات التأمين والمؤسسات تعمل في الطيران. في النهاية ، العصابة. تستمر التحقيقات في العصابة في سلطات قضائية متعددة ، وقد ألقت السلطات البريطانية القبض على عدد من الأفراد الذين قد تكون مرتبطة بالمجموعة.
الآن ، استشاري محدث، الصادر من خلال وكالة أمن الأمن السيبراني والبنية التحتية (CISA) ، المكتب الفيدرالي للتحقيق (FBI) ، والمركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) والوكالات الإلكترونية في أستراليا وكندا ، يحذر من الأهداف الأمريكية على الهجمات المتعددة.
“عادةً ما تشارك ممثلو تهديدات العنكبوت المبعثرة عادةً في سرقة البيانات من أجل الابتزاز وأيضًا استخدام العديد من المتغيرات الفدية ، حيث نشرت مؤخرًا Dragonforce Ransomware إلى جانب TTPs المعتادة”.
“في حين أن بعض TTPs لا تزال متسقة ، فإن فاعلات تهديد العنكبوت المنتشرة غالباً ما تغير TTPs لتبقى غير مكتشفة.
“تشجع منظمات التأليف منظمات البنية التحتية الحرجة والمرافق التجارية لتنفيذ التوصيات في قسم التخفيف من هذا الاستشارية لتقليل احتمالية وتأثير النشاط الضار العنكبوت المبعثر.”
راتتيرات والمفاجآت الأخرى
تاريخيا ، بدأت هجمات العنكبوت المنتشرة بمحاولات عريضة للتصيد والخضار الناشئة عن المجالات التي تم تصنيعها ضارًا ، ومحددة الضحية.
لا يزال هذا هو الحال ، مع بعض المتغيرات البسيطة-المجالات الجديدة التي لاحظها مكتب التحقيقات الفيدرالي في وقت متأخر قد تضمنت الأهداف الاسم cms[.]com ، أهداف الاسم helpdesk[.]com ، واسم Oktalogin-targets[.]كوم. غالبًا ما استفاد العنكبوت المبعثر من علامة Okta في هجماته في الماضي (أحد الأسماء المستعارة الأخرى هو 0Ktapus) و علاقة حب بلا مقابل مع استمرار أخصائي خدمات الهوية.
تستخدم الموجة الحالية من الهجمات أيضًا المزيد من التصيد الرمح المستهدف والمتعدد الطبقات في كتاب اللعب الخاص بها ، وغالبًا ما تدمج مواقع B2B المشروعة لجمع المعلومات لإثراء محاولاتهم وجعلها تبدو أكثر إقناعًا.
يبدو أن العنكبوت المبعثر الآن يحسن الهندسة الاجتماعية ، وقد لوحظ مؤخرًا كموظفين للضحية لإقناعه أو موظفي المساعدة بتقديم معلومات اعتماد ، وتشغيل ، ونقل المصادقة متعددة العوامل (MFA) إلى الأجهزة التي يسيطرون عليها.
قامت Access Frated و Scattered Spider أيضًا بإضافة عدد من أدوات نفق الوصول عن بُعد الجديدة إلى قائمة خبرتها الفنية. بالإضافة إلى أمثال ScreenConnect و TeamViewer ، فإنه يستخدم الآن AnyDesk لتمكين الوصول عن بُعد إلى أجهزة الشبكة و Teleport.sh ولتمكين الوصول عن بُعد إلى الأنظمة المحلية.
التفاصيل الاستشارية الإضافية: طرقة Access Access الجديدة التي تستند إلى Java التي يطلق عليها اسم Rattyrat ، والتي تستخدمها العنكبوت المتناثر لإنشاء وصول مستمر وخفي وأداء أنشطة Recon الداخلية داخل البنية التحتية لضحاياها. تحتفظ العصابة أيضًا بالبحث عن علامات على أنه تم اكتشافها ، إلى جانب مراقبة التطبيقات الداخلية مثل فرق Microsoft و Slack ، تجعل نشاطها يبدو أكثر إقناعًا من خلال إنشاء هويات جديدة تدعمها ملامح التواصل الاجتماعي Sock Puppet.
يلاحظ الاستشارية أيضًا الانتماء الذي تم تسليمه جيدًا الآن مع Dragonforce Ransomware لتشفير البيانات والابتزاز ، و IS يستهدف خوادم VMware ESXI بشكل متزايد في هذا. عندما تتفوق على البيانات في هجمات الفدية-يبدو الآن أنها تسعى إلى الوصول إلى ندفة الثلج لضحاياها من أجل سرقة المزيد من البيانات بشكل أسرع-فهي تستخدم مواقع متعددة بما في ذلك ماركات البيانات الضخمة والولايات المتحدة بما في ذلك Amazon ، وتستخدم TOR و TOX والبريد الإلكتروني والتطبيقات المشفرة للتواصل مع ضحاياها.
الاستشارية المحدثة الكاملة يحتوي على ثروة من المعلومات الإضافية بما في ذلك تكتيكات وتقنيات Miter ATT & CK ونصائح التخفيف.
كما يدعو الضحايا إلى الإبلاغ عن الحوادث إلى السلطات ، مع مراعاة المتطلبات القانونية المحلية ، ويكرر التأكيد على عدم دفع فدية للبيانات المشفرة.
الوجبات السريعة لقادة الأمن
Nick Tausek ، مهندس أتمتة الأمان الرصاص في swimlane، إن مزود منصة أمان الذكاء الاصطناعى ، قال نقطتان رئيسيتان برزتان من الاستشارية المحدثة.
“أولاً ، يجب أن تثير قدرة العنكبوت المبعثرة على التخلص من كميات كبيرة من البيانات الكثير من الأعلام الحمراء. الوصول إلى ندفة الثلج للمؤسسة يسمح للمجموعة بإدارة الآلاف من الاستفسارات على الفور وفي وقت واحد ، في وقت واحد في كثير من الأحيان ، توضح الناجحة في مجال التجزئة ، من خلال التاجر التجزئة ، من خلال التاجر التجزئة ، فإنه يوضح أن تكون هناك في مجال التجزئة.
“ومع ذلك ، فإن ما قد يكون أكثر إثارة للقلق هو العناية التي تظهرها المجموعة. إن الدخول إلى معالجة الحوادث والاستجابة غير المكتشفة من أجل تحديد كيفية تكييف فرق الأمن مع هجماتها هو استراتيجية ذكية للبقاء في المقدمة. يتيح الاستماع في هذه المكالمات الوصول إلى المعلومات مثل كيفية صيدها ، وما هي التعديلات التي ستجعلها فرق الأمن لمنع الهجوم في المستقبل.
“يجب على المؤسسات إدارة عناصر تحكم في التطبيقات التي يمكن أن تمنع ترخيص الوصول عن بُعد ، مثل الشبكات الخاصة الافتراضية أو واجهات سطح المكتب الافتراضية. بالإضافة إلى ذلك ، يجب على المؤسسات أن تحد بشدة من استخدام بروتوكول سطح المكتب عن بُعد (RDP) ، وتنفيذ خطط الاسترداد ، مثل النسخ الاحتياطية غير المتصلة بالبيانات ، في حالة قيام Ransomware بالدفاع الأمني لها”.
