شهد النصف الأول من عام 2025 قفزة حادة في عدد الاختراقات السحابية، بنسبة تجاوزت 136 بالمئة مقارنة بإجمالي العام السابق، وذلك وفقاً لتقرير CrowdStrike Threat Hunting الذي نُشر على هامش مؤتمر Black Hat USA 2025. يشير التقرير إلى أن المهاجمين السيبرانيين باتوا أكثر تمرساً في التعامل مع بيئات الحوسبة السحابية، من خلال استغلال الإعدادات الخاطئة، وتأمين موطئ قدم دائم داخل الأنظمة، والتنقل أفقياً عبر البنى التحتية الرقمية.
هذا التصعيد الحاد كان مدفوعاً بزيادة بلغت 40 بالمئة في نشاط جهات تهديد مرتبطة بالصين. وقد برزت في هذا السياق مجموعتان رئيسيتان هما Genesis Panda وMurky Panda. تقوم المجموعة الأولى بدور الوسيط المبدئي الذي يفتح الطريق أمام عمليات التجسس السيبراني، عبر استغلال ثغرات الواجهة الخارجية لأنظمة السحابة. وتُعرف باستخدامها للخدمات السحابية نفسها لتوسيع نطاق الوصول وضمان الاستمرارية، بما في ذلك استهداف حسابات مزودي الخدمة السحابية.
أما مجموعة Murky Panda، التي تستهدف كيانات مختلفة في أمريكا الشمالية، فتعتمد أسلوباً معقداً يتضمن اختراق العلاقات الموثوقة بين الشركاء والجهات المتصلة على بيئة Entra ID. وقد أظهرت هذه المجموعة مستوى متقدماً من المهارات التقنية، مع قدرتها على استخدام برمجيات نادرة مثل CloudedHope، وسرعتها في استغلال الثغرات غير المعروفة.
تطور تقنيات التمويه وتجاوز الدفاعات
تواكب هذا التصعيد في الهجمات السحابية مع ارتفاع ملحوظ في الهجمات التفاعلية اليدوية، بنسبة 27 بالمئة على أساس سنوي. ويُظهر هذا الاتجاه تحولاً نحو أساليب تعتمد على التفاعل البشري المباشر مع الأنظمة، لتجاوز أدوات الكشف التقليدية، وتكييف أساليب الهجوم حسب بيئة الدفاع المحددة لكل جهة مستهدفة. ويؤدي هذا الأسلوب إلى تسهيل الاستمرارية داخل النظام والتنقل الأفقي بين مكوناته، بهدف نهائي يتمثل في سرقة البيانات.
خمسة من أكثر عشر تقنيات استخداماً في الاثني عشر شهراً الماضية، حسب إطار MITRE ATT&CK، كانت تقنيات استكشافية. ويؤكد هذا التوجه أن الجهات المهاجمة تستثمر وقتاً كبيراً في فهم الشبكات الداخلية قبل تنفيذ الخطوات التالية. كما تضمنت أبرز التقنيات المستخدمة أساليب مراوغة دفاعية مثل التنكر وتعطيل أدوات المراقبة أو تعديلها، ما يمنح المهاجمين غطاءً يمكنهم من تصعيد الامتيازات وسرقة بيانات الاعتماد.
مجموعة Scattered Spider تعود بنشاط مكثف بعد فترة ركود
عودة لافتة سجلتها مجموعة Scattered Spider في أبريل 2025 بعد فترة من الخمول استمرت بين ديسمبر 2024 ومارس 2025. وقد استهدفت هذه المجموعة قطاعات التجزئة والطيران والتأمين في الولايات المتحدة والمملكة المتحدة بهجمات فدية متزامنة. وفي يونيو، أوقفت السلطات البريطانية أربعة أشخاص يشتبه في تورطهم بهجمات على ثلاث شركات تجزئة كبرى، جميعها على صلة بالمجموعة نفسها.
تزامن ذلك مع ارتفاع غير مسبوق في حجم هجمات التصيد الصوتي خلال النصف الأول من العام، متجاوزة بالفعل حجم الهجمات في العام 2024 كاملاً. وتُعد مجموعة Scattered Spider من أبرز المستخدمين لهذا النوع من الهجمات، حيث يتقمص أفرادها شخصيات موظفين فعليين ويتصلون بمكاتب الدعم الفني لطلب إعادة تعيين كلمات المرور أو رموز التحقق متعددة العوامل. وقد سُجّل في إحدى المحاولات أن المهاجم قدّم تاريخ الميلاد ورقم الضمان الاجتماعي بدلاً من رقم الهوية الوظيفية عندما طُلب منه التحقق.
