نفوذ Scattered Spider از طریق VMware ESXi

گروه Scattered Spider با سوءاستفاده از VMware ESXi اقدام به حملات گسترده سایبری به زیرساخت‌های آمریکا کرده‌اند.

به گزارش افتانا، گروه تبهکار سایبری Scattered Spider که با نام‌های دیگری همچون 0ktapus، UNC3944،Muddled Libra وOcto Tempest نیز شناخته می‌شود، اخیراً حملاتی هدفمند را علیه زیرساخت‌های مجازی در ایالات متحده انجام داده است. این حملات که شامل سازمان‌های فعال در حوزه خرده‌فروشی، خطوط هوایی و حمل‌ونقل می‌شود، زیرساخت‌های مبتنی بر VMware ESXi را هدف قرار داده‌اند.

طبق تحلیل منتشرشده توسط تیم امنیتی Mandiant ، وابسته به گوگل، این گروه از تاکتیک‌های نسبتاً ثابت و خلاقانه‌ای استفاده می‌کند که بیشتر بر مهندسی اجتماعی استوار است تا سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری. روش رایج آن‌ها شامل تماس‌های تلفنی فریبکارانه با تیم پشتیبانی IT سازمان‌ها و جعل هویت کارکنان رده‌بالای فناوری اطلاعات برای کسب دسترسی اولیه است.

گوگل تأکید کرده است که برخلاف حملات باج‌افزاری سنتی که معمولاً روی سامانه‌های ویندوزی متمرکز هستند، حملات گروه UNC3944 از دو ویژگی مهم برخوردار است: سرعت بالا و پنهان‌کاری شدید. در برخی موارد، عملیات آنها طی چند ساعت از شروع نفوذ تا استقرار نهایی باج‌افزار به‌پایان می‌رسد.

به گزارش شرکت امنیتیUnit 42 وابسته به Palo Alto Networks، اعضای Scattered Spider علاوه‌بر مهارت بالا در مهندسی اجتماعی، با گروه باج‌افزاریDragonForce معروف به Slippery Scorpius نیز همکاری داشته‌اند. در یک نمونه، بیش از ۱۰۰ گیگابایت اطلاعات در عرض تنها دو روز از یک سازمان قربانی استخراج شده است.

کارشناسان گوگل توصیه کرده‌اند که سازمان‌ها در برابر این نوع تهدیدات، از رویکردهای سنتی مقابله با بدافزار فاصله گرفته و به سمت دفاع زیرساخت‌محور و فعالانه حرکت کنند. همچنین فعال‌سازی lockdown mode در vSphere، رمزگذاری ماشین‌های مجازی و غیرفعال‌سازی ماشین‌های قدیمی استفاده از احراز هویت چندمرحله‌ای مقاوم در برابر فیشینگ و ایزوله‌سازی زیرساخت هویتی و پایش متمرکز لاگ‌ها و ایزوله‌سازی نسخه‌های پشتیبان از دامنه نفوذ مهاجمان ازجمله توصیه‌های امنیتی برای کاهش آسیب‌ها و تهدیدات است.

با نزدیک‌شدن به پایان پشتیبانی رسمی VMware vSphere 7 در اکتبر ۲۰۲۵، گوگل هشدار داده است که سازمان‌ها باید در فرایند مهاجرت به نسخه‌های جدید، بازطراحی معماری امنیتی را در اولویت قرار دهند.گوگل تأکید کرده است که بی‌توجهی به این تهدیدها می‌تواند به فلج‌شدن کامل زیرساخت مجازی سازمان و تحمیل خسارات سنگین عملیاتی و مالی منجر شود.