كشفت حملة إلكترونية معقدة وجديدة مصدرها “صيادو Lapsus$ المتفرقون” (Scattered Lapsus$ Hunters) عن تحول كبير نحو استغلال ثغرات سلسلة التوريد. تستهدف هذه الحملة منصة دعم العملاء الحيوية Zendesk، محولةً أداة عمل موثوقة إلى منصة تجسس مؤسسي.
نجح المهاجمون في تسجيل أكثر من 40 نطاقاً إلكترونياً تحمل أخطاء إملائية مشابهة (typosquatted domains)، بما في ذلك أمثلة خادعة مثل znedesk[.]com و vpn-zendesk[.]com. تم تصميم هذه المواقع بعناية فائقة لتقليد بيئات تسجيل الدخول المشروعة، مستضيفةً بوابات تسجيل دخول موحدة (SSO) مزيفة تقوم بالتقاط بيانات اعتماد المستخدمين دون علمهم.
تطور تهديد Scattered Lapsus$ Hunters
تُظهر البنية التحتية للحملة جهداً منسقاً لتجاوز بروتوكولات الكشف القياسية. تم تسجيل النطاقات باستمرار عبر NiceNic واستخدام أسماء خوادم موفرة بواسطة Cloudflare لإخفاء أصول الاستضافة الحقيقية. باستخدام هذه التقنيات الخفية، يضمن المهاجمون بقاء صفحات التصيد الاحتيالي الخاصة بهم نشطة لفترة كافية لجمع كميات كبيرة من بيانات الاعتماد ذات الامتيازات العالية.
يعكس هذا التطور الاستراتيجي في قدرات المجموعة، حيث يسمح لهم بالحفاظ على سرية عملياتهم أثناء استهداف المنصات واسعة الانتشار التي تستخدمها المؤسسات العالمية. تمتد آثار هذا النهج المستهدف إلى ما هو أبعد من مجرد سرقة بيانات الاعتماد.
حددت محللو أمن المعلومات في Reliaquest البرمجيات الخبيثة، ولاحظوا أن الحملة تشترك في خصائص تسجيل نطاقات مميزة مع هجمات سابقة للمجموعة استهدفت Salesforce في أغسطس 2025. بمجرد تجاوز المهاجمين لطبقة المصادقة الأولية، فإنهم ينشئون موطئ قدم مستمراً يسهل الحركة الجانبية عبر الشبكة المؤسسية.
الوصول إلى بيانات حساسة
يسمح هذا الوصول لهم بسرقة بيانات العملاء شديدة الحساسية، بما في ذلك معلومات الفوترة وبطاقات الهوية الحكومية، مما يماثل سرقة البيانات الضخمة التي شوهدت في اختراق Discord في سبتمبر 2025. يشكل استخدام هذه المنصات الأمنية لدخول الشبكات تهديداً متزايداً للمؤسسات التي تعتمد عليها.
تسخير تذاكر الدعم كسلاح
تتضمن التكتيكات الأكثر خطورة لدى المجموعة تسخير تذاكر الدعم الشرعية مباشرة لتجاوز الدفاعات المحيطية التقليدية. بدلاً من الاعتماد فقط على رسائل البريد الإلكتروني الخارجية، يقومون بتقديم تذاكر احتيالية مباشرة إلى بوابة Zendesk الخاصة بالمؤسسة.
عادةً ما تنتحل هذه التذاكر شخصية طلبات عاجلة من مسؤولي النظام أو استفسارات إعادة تعيين كلمات المرور، مما يخلق شعوراً زائفاً بالإلحاح يدفع وكلاء الدعم إلى التصرف دون تحقق. يتم تضمين روابط إلى النطاقات المزورة أو حمولات خبيثة مصممة لاختراق نقطة النهاية داخل هذه التذاكر.
التحكم عن بعد
عندما يتفاعل موظف مكتب المساعدة مع التذكرة، يقوم عن غير قصد بتنزيل برامج حصان الوصول عن بعد (RATs). يمنح هذا المهاجمين سيطرة عن بعد مستمرة، مما يسمح لهم بتنفيذ الأوامر ومراقبة النشاط. لقد تباهت المجموعة بجرأة بهذه العمليات المعقدة، وحذرت فرق الاستجابة للحوادث بشكل خاص من مراقبة سجلاتهم عن كثب.
يستعدون لجمع قواعد بيانات العملاء الحيوية من خلال موسم العطلات القادم في عام 2026. يأتي هذا الكشف في وقت يتزايد فيه الاعتماد على الأدوات الرقمية، مما يزيد من أهمية فهم هذه التهديدات الجديدة والاستعداد لها.