كشفت جوجل عن توسع كبير في أنشطة مجموعة ShinyHunters التهديدية، التي تستخدم تكتيكات متطورة تستهدف الأنظمة السحابية عبر منظمات متعددة. هذه المجموعة الإجرامية السيبرانية تعتمد على التصيد الصوتي ومواقع ويب لجمع بيانات الاعتماد المزيفة لسرقة معلومات تسجيل الدخول من الموظفين.
تستخدم هذه المجموعة الإلكترونية وسائل احتيال متزايدة، حيث يتصل المهاجمون بالموظفين مدعين أنهم من قسم تقنية المعلومات بالشركة ويطلبون منهم الوصول إلى مواقع وهمية لتحديث معلوماتهم. تهدف هذه المواقع إلى جمع بيانات اعتماد الدخول، بما في ذلك أرقام التعريف الشخصية وعوامل المصادقة المتعددة، مما يمنح المهاجمين وصولاً غير مصرح به إلى البيانات الحساسة.
تكتيكات ShinyHunters الجديدة في الهجمات السيبرانية
استهداف الأنظمة السحابية بتصيد صوتي ومواقع مزيفة
وبحسب تحليل باحثي جوجل كلاود، فإن نشاط التهديدات هذا يتتبع تحت ثلاث مجموعات منفصلة تعرف بـ UNC6661، و UNC6671، و UNC6240. تشير التقديرات إلى أن هذه المجموعات وسعت نطاق وتنوع المنصات السحابية التي تستهدفها، ساعية إلى الحصول على بيانات أكثر قيمة لمخططات الفدية الخاصة بها.
وقد أشارت التقارير الأخيرة إلى أن المهاجمين باتوا يستخدمون تكتيكات أكثر عدوانية، تشمل مضايقة موظفي الشركات المستهدفة وإطلاق هجمات حجب الخدمة (DDoS) على مواقع الشركات. هذا يشير إلى استراتيجية متصاعدة لزيادة الضغط على الضحايا.
آلية الهجوم وعدم استغلال الثغرات
من اللافت للنظر أن هذه الهجمات لا تعتمد على استغلال ثغرات أمنية في المنتجات أو البنية التحتية البرمجية. بل على العكس، فهي تعتمد بشكل أساسي على الهندسة الاجتماعية، أي خداع الأفراد ودفعهم لتقديم بيانات اعتمادهم طواعية. هذا يجعل من الصعب صدها بالحلول التقنية التقليدية.
وينصح الخبراء الأمنيون بضرورة تبني المؤسسات لأساليب مصادقة مقاومة للتصيد الاحتيالي، مثل مفاتيح الأمان FIDO2 أو Passkeys. هذه الوسائل يصعب تجاوزها من خلال تكتيكات الهندسة الاجتماعية التي تعتمد عليها طرق المصادقة التقليدية مثل الرسائل النصية القصيرة أو الإشعارات.
عمليات سرقة البيانات وعمليات الابتزاز
التسجيل لأسماء نطاقات مزيفة لتقليد البوابات الرسمية
يقوم المهاجمون بتسجيل أسماء نطاقات تبدو وكأنها بوابات إلكترونية رسمية للشركات، باستخدام أنماط مثل “companynamesso.com” أو “companynameinternal.com” لجعل مواقع التصيد الاحتيالي تبدو حقيقية. هذا التمويه البصري يزيد من احتمالية خداع الموظفين.
بعد الحصول على بيانات اعتماد الموظفين، يقوم المهاجمون بتسجيل أجهزة المصادقة الخاصة بهم لضمان استمرار الوصول إلى حسابات الضحايا. ثم ينتقلون بشكل منهجي عبر البيئات السحابية للشركات لسرقة البيانات من منصات مثل SharePoint، و Salesforce، و DocuSign، و Slack.
البحث عن المستندات الحساسة وتشفير رسائل الأمان
يبحث المجرمون السيبرانيون بشكل خاص عن المستندات التي تحتوي على مصطلحات مثل “سري”، “داخلي”، “مقترح”، و “VPN” داخل التطبيقات السحابية. هذا يدل على تركيزهم على البيانات ذات القيمة العالية.
في بعض الحالات، قام المهاجمون بتفعيل أدوات مثل “ToogleBox Recall” ضمن حسابات Google Workspace لحذف رسائل إشعارات الأمان بشكل دائم، لمنع الموظفين من اكتشاف وصول أجهزة غير مصرح بها إلى حساباتهم. هذا التكتيك يهدف إلى إخفاء آثار الجريمة.
مطالبات الفدية والمهلة الزمنية
بعد سرقة البيانات، يرسل المهاجمون رسائل ابتزاز يطالبون فيها بدفعات بعملة البيتكوين خلال 72 ساعة. كما يقدمون عينات من المعلومات المسروقة مستضافة على منصات مشاركة الملفات لإثبات ادعاءاتهم. هذا الضغط الزمني والتهديد بكشف البيانات يزيد من احتمالية استجابة الضحايا.