اصطياد مجموعة Scattered Lapsus$ Hunters في فخ إلكتروني

قال باحثون من شركة الأمان Resecurity إنهم تمكنوا من اصطياد فاعلي تهديد من مجموعة Scattered Lapsus$ Hunters في فخ إلكتروني باستخدام ما وصفته الشركة بـ"البيانات الاصطناعية".

أعلنت Resecurity عن هذا التطور في 3 يناير كجزء من تحديث لمنشور في ديسمبر يصف كيف قام أحد فاعلي التهديد (ليس بالضرورة مرتبطًا بالمجموعة المذكورة) باستكشاف موارد Resecurity بحثًا عن طريقة للوصول إلى بيانات الشركة الحساسة. بعد تحديد جهود الاستطلاع، قام الباحثون بإنشاء حساب فخ وأسروا المهاجم باستخدام "البيانات الاصطناعية"، وهي مجموعة بيانات تبدو واقعية تهدف إلى خداع المهاجم للاعتقاد بأنه يمكنه استخراج بيانات حقيقية خاصة.

استخدم الباحثون مجموعتين من البيانات تتظاهران بكونهما بيانات مستهلكين ومعاملات دفع، بالإضافة إلى رسائل تم إنشاؤها. ومع ذلك، "في كلتا الحالتين، استخدمنا بيانات تم تسريبها مسبقًا ومتاحة على الويب المظلم والأسواق السوداء - والتي قد تحتوي على معلومات شخصية - مما جعل البيانات أكثر واقعية بالنسبة لفاعلي التهديد"، كما كتبوا في المنشور.

جادلت Resecurity بأن البيانات المستخلصة من المصادر المفتوحة يمكن أن تكون عنصرًا مهمًا لخداع المهاجمين "خصوصًا عندما يكون فاعل التهديد متقدمًا وقد يقوم بإجراء فحوصات متنوعة للتحقق من أن البيانات ليست مزيفة تمامًا".

"بخلاف ذلك، قد يؤثر ذلك على تكتيكاتهم المستقبلية أو يؤدي إلى توقف كامل لخططهم"، كتب الباحثون. "في سيناريوهاتنا، كان هدفنا هو السماح لفاعل التهديد بتنفيذ نشاطه وتزويده ببيانات اصطناعية لمراقبة مسار هجومه وبنيته التحتية. لم تتضمن هذه المهمة استخدام كلمات مرور أو بيانات اعتماد API."

دخول مجموعة Scattered Lapsus$ Hunters

بعد منشور في 24 ديسمبر، قام محللو Resecurity بتحديث مقالهم ليقولوا كيف سقط أفراد من مجموعة Scattered Lapsus$ Hunters، المعروفة أيضًا باسم ShinyHunters، في أحد الفخاخ الخاصة بالبائع.

سميت المجموعة بهذا الاسم بسبب التداخل بين مجموعات التهديد Lapsus$ وShinyHunters وScattered Spider؛ جميعها مرتبطة بـ"The Com"، وهو نظام إجرامي إلكتروني تديره في الغالب عناصر شابة (بما في ذلك مراهقون) يتحدثون الإنجليزية.

وفقًا لتحديث المدونة، تفاخر الفريق باختراق Resecurity وعرض لقطات شاشة من الفخ. "تتعلق لقطات الشاشة التي شاركها فاعلو التهديد بـ'[honeytrap].b.idp.resecurity.com' (نظام تم محاكاته ببيانات مخترقة من الويب المظلم وليس مرتبطًا بأي عملاء فعليين لـ Resecurity) وتطبيق Mattermost، الذي تم توفيره لحساب الفخ 'Mark Kelly' حوالي نوفمبر 2025 لهذا الغرض"، كما جاء في المنشور. "اعترف الفريق بأن جهود Resecurity عطلت عملياتهم. استخدم فريقنا الهندسة الاجتماعية للحصول على بيانات من المجموعة وتتبع نشاطهم."

أسئلة حول البيانات الاصطناعية

بينما تعتبر البيانات الاصطناعية أداة مثيرة لجذب المهاجمين، فإن استخدام بيانات مسروقة حقيقية - سواء كانت قديمة أو متاحة للجمهور - يثير تساؤلات حول ما إذا كانت هذه البيانات تخص الباحثين لتقديمها لفاعل تهديد في المقام الأول. اتصلت Dark Reading بـ Resecurity للحصول على مزيد من السياق.

قال متحدث باسم فريق Resecurity HUNTER إنه من أجل خداع المهاجم بنجاح، يجب أن تتضمن الفخاخ "كلا من البيانات 'المزيفة' و'الحقيقية' (لكن غير القابلة للتنفيذ)، بحيث يختلط الأمر على الفاعل السيء ولا يمكنه التمييز بينهما."

وأضاف المتحدث أن Resecurity "ليس لديها مخاوف أخلاقية بشأن هذا النهج" حيث "لا يعمل الفاعلون السيئون تحت قيود أخلاقية عند تنفيذ أنشطة ضارة على نطاق واسع."

"البيانات المستخدمة إما تم اختراقها بالفعل ومتاحة على الويب المظلم أو متاحة للجمهور على الويب السطحي. لم يتم استخدام أي بيانات عملاء في حالتنا"، كما يقول المتحدث.