كشف تحقيق في حادثة وقعت في سبتمبر 2025 عن وجود جهاز افتراضي (VM) غير مصرح به داخل بيئة VMware vSphere، ويرتبط هذا الاكتشاف بمجموعة Muddled Libra، المعروفة أيضًا باسم Scattered Spider و UNC3944. استغل المهاجمون هذا الجهاز الافتراضي كمنصة للتحضير لهجماتهم، مما أظهر كيف يمكن لجهاز واحد أن يصبح جسرًا بين أنظمة الهوية والخدمات السحابية.
تُعرف هذه المجموعة بنهجها في الهندسة الاجتماعية، بما في ذلك التصيد الاحتيالي عبر الرسائل النصية والمكالمات الهاتفية، بالإضافة إلى انتحال صفة الموظفين لخداع فرق الدعم الفني لإعادة تعيين كلمات المرور أو المصادقة متعددة العوامل. غالبًا ما تتجنب المجموعة استخدام البرامج الضارة الثقيلة، معتمدة بدلاً من ذلك على أدوات الإدارة الشرعية والبنية التحتية الخاصة بالضحية للتمويه.
هجوم Muddled Libra على VMware vSphere
وفقًا لبحث أجرته شركة Palo Alto Networks، تمكن المهاجمون من اختراق بيئة vSphere بعد حوالي ساعتين من الوصول الأولي. قاموا بعد ذلك بإنشاء جهاز افتراضي جديد باسم “New Virtual Machine”.
بعد تسجيل الدخول، قام المهاجمون باستخدام شهادات مسروقة لتزوير تذاكر دخول، مما سمح لهم بتوسيع نطاق سيطرتهم على الشبكة. من هذه النقطة، تمكن المهاجمون من إيقاف تشغيل أجهزة التحكم في المجال الافتراضية (Virtualized domain controllers).
قاموا بعد ذلك بتحميل محركات الأقراص الافتراضية (VMDKs) ونسخ ملفات NTDS.dit و SYSTEM إلى الجهاز الافتراضي الذي أنشأوه. بعد ذلك، بدأوا في استكشاف الدليل باستخدام أداة ADRecon ومراجعة أسماء كيانات الخدمة (Service Principal Names).
تضمنت الأنشطة الإضافية وصول المهاجمين إلى بيئة Snowflake الخاصة بالضحية، ومحاولة استخراج بيانات صناديق البريد الإلكتروني، بما في ذلك ملف PST. تم استخدام مواقع مشاركة الملفات وتطبيق S3 Browser لنقل هذه البيانات خارج شبكة الضحية.
استغلال الأنفاق عبر Chisel
في غضون دقائق من إنشاء الجهاز الافتراضي غير المصرح به، قام المهاجمون بتأسيس ثبات (Persistence) باستخدام نفق SSH عبر أداة Chisel. تم عرض الأداة في ملف ZIP باسم goon.zip، وتم تحميلها من مخزن S3 تابع للمهاجم.
أظهرت سجلات الشبكة وجود حركة مرور متواصلة لمدة 15 ساعة تقريبًا إلى عنوان يتحكم فيه المهاجمون عبر منفذ TCP 443. ساعد هذا الاتصال في جعل حركة المرور تبدو كأنها حركة مرور HTTPS عادية، مما يجعل اكتشافها أكثر صعوبة.
لمواجهة هذه التهديدات، يُنصح بتقوية ضوابط الهوية وفرض مبدأ الحد الأدنى من الامتيازات (Least Privilege) لحسابات vSphere وحسابات المسؤولين. كما أن مراقبة إنشاء الأجهزة الافتراضية المشبوهة، وأحداث إيقاف تشغيل أجهزة التحكم في المجال، وعمليات تحميل VMDK غير المتوقعة، تعد إجراءات ضرورية.
إن المراقبة المستمرة للاستخدام غير العادي للأدوات الشائعة، وحركة المرور الصادرة غير الاعتيادية من الأنظمة حديثة الإنشاء، والوصول الشاذ إلى منصات البيانات السحابية، يمكن أن تساعد في اكتشاف هذا النهج “العيش على أرض الواقع” (Living-off-the-land) قبل أن يتطور إلى انتشار واسع النطاق وسرقة بيانات.