Группировка Scattered Spider, также известная под псевдонимами 0ktapus, Muddled Libra, Octo Tempest и UNC3944, проводит агрессивные и креативные кибератаки на критическую инфраструктуру Северной Америки. Их целями становятся компании из секторов розничной торговли, авиаперевозок и транспорта. В отличие от многих других злоумышленников, Scattered Spider действует не оппортунистически, а проводит точно спланированные кампании, нацеленные на паралич ключевых систем организации.
Основным методом группы является не эксплуатация уязвимостей программного обеспечения, а продуманная социальная инженерия. Атакующие используют «проверенный сценарий», совершая телефонные звонки в IT-службу поддержки и выдавая себя за сотрудников или системных администраторов. Эта тактика крайне эффективна, поскольку обходит традиционные средства защиты, такие как EDR-решения, и оставляет минимальное количество следов первоначального взлома.
Для подготовки атак злоумышленники регистрируют доменные имена, которые мимикрируют под легитимную инфраструктуру целевой компании. По данным NCC Group, используются шаблоны вида
Атака разворачивается в пять фаз. Сначала хакеры проводят разведку, изучая IT-документацию и организационные схемы для выявления администраторов VMware vSphere. Они ищут учетные данные в корпоративных хранилищах паролей, таких как HashiCorp Vault или других решениях класса Privileged Access Management (PAM). Затем, выбрав цель, они звонят в службу поддержки, выдают себя за администратора и запрашивают сброс пароля, получая контроль над учетной записью.
Получив доступ, злоумышленники используют сопоставленные учетные данные Active Directory для входа в среду виртуализации, в частности в VMware vCenter Server Appliance (vCSA). Для закрепления в системе они используют инструмент под названием
Для кражи базы данных Active Directory, файла
Перед финальной стадией атаки Scattered Spider целенаправленно уничтожает возможность восстановления систем. Они получают доступ к системам резервного копирования и удаляют задания, снимки (снапшоты) и репозитории, лишая жертву шанса быстро восстановить зашифрованные данные. Этот шаг делает выплату выкупа практически единственным вариантом для компании.
Действуя в партнерстве с программой-вымогателем DragonForce (также известной как Slippery Scorpius), группа переходит к шифрованию. Используя ранее полученный SSH-доступ к хостам ESXi, они загружают свой кастомный бинарный файл вымогателя с помощью протоколов SCP или SFTP. Весь процесс, от первоначального доступа до полного шифрования виртуальных машин, отличается «экстремальной скоростью» и может занимать всего несколько часов.
Атаки на инфраструктуру vSphere несут риск «немедленного и повсеместного паралича инфраструктуры», приводя к полной остановке операционной деятельности и значительным финансовым потерям. Согласно аналитикам Google, для защиты от подобных угроз организациям необходимо перейти от стандартного поиска угроз на конечных точках к «проактивной, инфраструктурно-ориентированной обороне». Это связано с тем, что скорость и скрытность атак Scattered Spider коренным образом отличаются от традиционных атак на системы под управлением Windows.
Изображение носит иллюстративный характер
Основным методом группы является не эксплуатация уязвимостей программного обеспечения, а продуманная социальная инженерия. Атакующие используют «проверенный сценарий», совершая телефонные звонки в IT-службу поддержки и выдавая себя за сотрудников или системных администраторов. Эта тактика крайне эффективна, поскольку обходит традиционные средства защиты, такие как EDR-решения, и оставляет минимальное количество следов первоначального взлома.
Для подготовки атак злоумышленники регистрируют доменные имена, которые мимикрируют под легитимную инфраструктуру целевой компании. По данным NCC Group, используются шаблоны вида
victimname-sso[.]com, victimname-okta[.]com, victimname-servicedesk[.]com, sso-victimname[.]com и servicenow-victimname[.]com. Это позволяет им повысить достоверность своих фишинговых атак и обмануть службу поддержки. Атака разворачивается в пять фаз. Сначала хакеры проводят разведку, изучая IT-документацию и организационные схемы для выявления администраторов VMware vSphere. Они ищут учетные данные в корпоративных хранилищах паролей, таких как HashiCorp Vault или других решениях класса Privileged Access Management (PAM). Затем, выбрав цель, они звонят в службу поддержки, выдают себя за администратора и запрашивают сброс пароля, получая контроль над учетной записью.
Получив доступ, злоумышленники используют сопоставленные учетные данные Active Directory для входа в среду виртуализации, в частности в VMware vCenter Server Appliance (vCSA). Для закрепления в системе они используют инструмент под названием
teleport, который создает постоянный зашифрованный обратный туннель (reverse shell), способный обходить межсетевые экраны. Для кражи базы данных Active Directory, файла
NTDS.dit, применяется атака «подмены диска» (disk-swap). Хакеры активируют SSH-доступ к хостам VMware ESXi и сбрасывают пароли root-пользователей. После этого они выключают виртуальную машину контроллера домена (DC), отключают ее виртуальный диск, подключают его к другой, уже скомпрометированной виртуальной машине, копируют файл NTDS.dit, а затем возвращают диск на место и включают контроллер домена. Перед финальной стадией атаки Scattered Spider целенаправленно уничтожает возможность восстановления систем. Они получают доступ к системам резервного копирования и удаляют задания, снимки (снапшоты) и репозитории, лишая жертву шанса быстро восстановить зашифрованные данные. Этот шаг делает выплату выкупа практически единственным вариантом для компании.
Действуя в партнерстве с программой-вымогателем DragonForce (также известной как Slippery Scorpius), группа переходит к шифрованию. Используя ранее полученный SSH-доступ к хостам ESXi, они загружают свой кастомный бинарный файл вымогателя с помощью протоколов SCP или SFTP. Весь процесс, от первоначального доступа до полного шифрования виртуальных машин, отличается «экстремальной скоростью» и может занимать всего несколько часов.
Атаки на инфраструктуру vSphere несут риск «немедленного и повсеместного паралича инфраструктуры», приводя к полной остановке операционной деятельности и значительным финансовым потерям. Согласно аналитикам Google, для защиты от подобных угроз организациям необходимо перейти от стандартного поиска угроз на конечных точках к «проактивной, инфраструктурно-ориентированной обороне». Это связано с тем, что скорость и скрытность атак Scattered Spider коренным образом отличаются от традиционных атак на системы под управлением Windows.
