The ShinyHunters اختراق الجماعي المسؤول عن موجة من الهجمات الإلكترونية تم تنسيقه عبر منتجات Salesforce من المحتمل أن تتعاون مع عصابة العنكبوت المبعثرة أسقطت الأنظمة في Marks & Spencer في وقت سابق من هذا العام ، وفقا لبحث جديد.
في تقرير نشر اليوم، يجادل الباحثون في Reliuest Kimberley Bromley و Ivan Righi بأن هناك الآن الكثير من الأدلة – وإن كان بعضها ظرفيًا للغاية – مما يشير إلى وجود شراكة متعمدة بين العمليتين ، وكلاهما كان مرتبطًا سابقًا بشبكة الجريمة الإلكترونية الأوسع المعروفة باسم COM.
وصفوا تحولًا كبيرًا في تكتيكات ShinyHunters التي تحرك المجموعة إلى ما هو أبعد من طريقة عملها السابقة ، والتي تركزت إلى حد كبير على سرقة الاعتماد واستغلال قاعدة البيانات ، لتشمل تقنيات العنكبوت المبعثرة “هولمارك”.
ويشمل ذلك تبني الحملات الصوتية عالية المستهدفة ، أو الحملات التي تنتحل من طاقم دعم تكنولوجيا المعلومات للحصول على ضحايا لتوصيل التطبيقات الضارة-محمل بيانات Salesforce في الحملة الحالية-التي تمكنهم من سرقة البيانات ، واستخدام الشبكة الفورية التي تبرع في OKTA (VPN).
وكتب بروملي وريوي: “تتماشى هذه التكتيكات بشكل وثيق مع أساليب العلامات التجارية للعنكبوت المتناثرة وتلك الخاصة بالجماعية الأوسع ، وهي تكهنات بتغذية التعاون النشط بين المجموعات”.
الأدلة تضيف ما يصل
قدم فريق ReliaQuest المزيد من الأدلة على وجود رابط ، قائلاً إن المجموعتين يبدو أنهما يستهدفان عموديًا مماثلًا – البيع بالتجزئة والتأمين والطيران – خلال نفس الجدول الزمني القاسي ، ويبدو أنهما يتخذان نهجًا مماثلًا في اتفاقيات التسمية التي استخدموها عند تسجيل مجالاتهم. حذر Bromley و Righi من أنه بناءً على تحليلهم للمجالات المسجلة التي تتطابق مع اتفاقية نمط التسمية التي تفضلها ShinyHunters و Spictper SPIDER ، من المحتمل أن تكون شركات الخدمات المالية الآن في حالة تأهب قصوى.
ظهرت المزيد من الأدلة مؤخرًا لوجود شخصية فردية مرتبطة بـ ShinyHunters ، والمعروفة باسم SP1d3rhunters. هذا الحساب الذي ظهر لأول مرة خدمة تسرب بيانات Breachforums في عام 2024 ، عندما تم ربطه خرق ShinyHunters ل ticketmasterزعم أنه ادعى أن شينهونترز والعنكبوت المتناثر نكون الشيء نفسه ، علاوة على ذلك كان دائما.
وقال الباحثون: “إذا كانت هذه الروابط شرعية ، فإنهم يقترحون أن التعاون أو التداخل بين ShinyHunters و Scatterd Spider ربما كان مستمرًا منذ أكثر من عام”.
أهمية أوسع
اعترافًا أنه سيكون من الممكن قضاء أشهر في تشريح القرائن التي تشير إلى أن شينهونترز والعنكبوت المتناثر يعملون معًا ، قال بروملي وريلي إنه من المهم أن يغيب المدافعون عن الأهمية الأوسع للهجمات المستمرة – فهي ناجحة ليس بسبب تنظيمها ، ولكن بسبب تنفيذهم.
وقالوا: “تدور الممثلون للتهديدات باستمرار من البنية التحتية ، وتغيير الأسماء ، وتكييف TTPs الخاصة بهم للتهرب من الكشف وزيادة التأثير”.
“ونتيجة لذلك ، يعد تتبع الأنماط السلوكية وتطوير TTPs وراء هذه الحملات أكثر قيمة بكثير من التركيز فقط على مؤشرات التسوية (IOCs) أو الإسناد.
“بالنسبة لقادة الأمن ، فإن فهم هذا المشهد المائع والمستمر للتهديد أمر بالغ الأهمية لتوقع الهجمات المستقبلية واتخاذ قرارات مستنيرة بشأن استراتيجية الأمن وتخصيص الموارد.”
لقد حذروا من أن حملات الهجوم السيبراني من المحتمل أن تستمر بغض النظر عما إذا كانت المجموعتان تعملان معًا ، أو كانت واحدة أو متماثلة ، مضيفين أن الآخرين قد يحاولون أيضًا محاكاة نجاح الهجمات البارزة من خلال تبني تكتيكات مماثلة.
وقالوا: “هذه الحملات الحديثة تُظهر فعالية موجة جديدة من الممثلين الذين يتحدثون باللغة الإنجليزية في الهندسة الاجتماعية”.
