UNC3753 تهاجم شركات أمريكية عبر انتحال الشخصية والابتزاز

كشفت أبحاث أمنية عن حملة ابتزاز تقف وراءها مجموعة UNC3753 استهدفت عشرات الشركات الأمريكية عبر تقنيات انتحال الشخصية والوصول المادي المباشر.

ما هي مجموعة UNC3753 وكيف تنفذ هجماتها الرقمية؟

أوضح خبراء الأمن الرقمي تفاصيل حملة واسعة النطاق لسرقة البيانات والابتزاز المالي، استهدفت عشرات المؤسسات في القطاعات المهنية والقانونية والمالية بالولايات المتحدة في النصف الأول من عام 2026. ووفقاً لما ذكره تيكبامين، نُسبت هذه الأنشطة إلى جهة تهديد تُعرف باسم UNC3753، والتي تشتهر أيضاً بأسماء مستعارة مثل Chatty Spider وLuna Moth وSilent Ransom Group.

تعتمد المجموعة بشكل أساسي على "التصيد الصوتي" (vishing) وتقنيات الهندسة الاجتماعية المضللة لتحقيق وصول عن بعد غير مصرح به إلى بيئات الشركات الرقمية، مما يهدد استقرار الأمن الرقمي لهذه المؤسسات بشكل مباشر.

أهم أساليب التسلل المتبعة:

• استخدام ذرائع وهمية مثل ترحيل البيانات السحابية أو إرسال فواتير رسمية عبر البريد الإلكتروني.
• بدء محادثات هاتفية مباشرة مع الموظفين من خلال انتحال صفة موظفي الدعم الفني (IT Support).
• إقناع الأهداف ببدء جلسات مشاركة الشاشة وتحميل أدوات الإدارة والمراقبة عن بعد (RMM).

كيف يتم الابتزاز وسرقة البيانات الحساسة من الشركات؟

بمجرد كسب الوصول إلى النظام، يقوم القراصنة إما بإجراء عمليات بحث مباشرة لتحديد واستخراج الملفات ذات الأهمية العالية، أو خداع الضحية لتنفيذ هذه الإجراءات نيابة عنهم دون علمها.

تتضمن قائمة المعلومات المسروقة التي تستهدفها المجموعة ما يلي:

• اتفاقيات قانونية ملكية وعقود تجارية حساسة.
• معلومات تحديد الهوية الشخصية (PII) للموظفين والعملاء.
• سجلات مالية وكشوفات حسابات سرية.

بعد الاستيلاء على البيانات، تمارس المجموعة ضغوطاً هائلة على الشركات للدفع مقابل عدم تسريب هذه المعلومات الحساسة على منصات التسريب العام التابعة للقراصنة.

لماذا لجأ القراصنة إلى التسلل المادي للمكاتب والشركات؟

في تطور نوعي ومقلق، تم رصد حالات قام فيها المهاجمون بزيارة مقار الضحايا شخصياً، وهو ما يتماشى مع التحذيرات الرسمية الأخيرة. يتضمن هذا النوع من "التسلل المادي" انتحال صفة فنيي تقنية معلومات للدخول إلى المكاتب ومحاولة سرقة البيانات باستخدام وسائط USB خارجية.

حسب تيكبامين، تتيح هذه الطريقة للمهاجمين تجاوز جدران الحماية الرقمية والوصول المباشر إلى الأجهزة، حيث يقوم المهاجم بتوصيل قرص صلب خارجي بجهاز الضحية لاستخراج البيانات بسرعة قبل مغادرة الموقع.

ما هي العلاقة بين UNC3753 وعصابات الفدية القديمة؟

تشير التقييمات الأمنية إلى أن مجموعتي UNC3753 وUNC2686 هما امتداد أو انشقاق عن عصابة "Conti" الشهيرة لبرمجيات الفدية التي توقفت عن العمل سابقاً. ورغم أن المجموعة شوهدت تستخدم برمجية LockBit Black في الماضي، إلا أنها تحولت بشكل كامل نحو نموذج "الابتزاز فقط".

بدلاً من تشفير الملفات، يركز القراصنة على سرقة البيانات وتهديد الضحايا بنشرها على موقع LEAKEDDATA. تهدف هذه الاستراتيجية إلى تقليل فرص اكتشافهم مع الحفاظ على عوائد مالية ضخمة من خلال الابتزاز المباشر للشركات الكبرى.

توصيات تيكبامين لحماية المؤسسات:

• تدريب الموظفين على كشف مكالمات التصيد الصوتي وعدم مشاركة الشاشة مع جهات خارجية.
• تشديد إجراءات الدخول المادي إلى المكاتب والتحقق الصارم من هوية أي فنيين خارجيين.
• مراقبة استخدام أدوات الإدارة عن بعد وتقييد صلاحيات توصيل وسائط التخزين الخارجية (USB).

في الختام، يمثل هذا المزيج بين الهندسة الاجتماعية والتسلل المادي تحدياً جديداً لمسؤولي الأمن الرقمي، مما يتطلب استراتيجية دفاعية شاملة تتجاوز الحلول البرمجية التقليدية لتشمل الوعي البشري والأمن المادي للمقرات.