С переходом корпоративных операций в веб-среду браузеры, включая Chrome, Edge, Firefox и Safari, стали основным полем боя в кибербезопасности. Более 80% инцидентов безопасности теперь зарождаются в веб-приложениях, доступ к которым осуществляется через браузер, что требует от директоров по информационной безопасности (CISO) пересмотра стратегий защиты и вывода безопасности браузера на первый план.
Ключевым примером этой угрозы является группировка Scattered Spider, также известная как UNC3944, Octo Tempest и Muddled Libra. За последние два года она значительно развила свои методы, сфокусировавшись на точечных атаках на человеческую идентичность и браузерную среду. Этот подход отличает её от других известных кибергруппировок, таких как Lazarus Group, Fancy Bear или REvil. Основная цель Scattered Spider — получение конфиденциальной информации, хранящейся непосредственно во вкладках браузера: календари, учетные данные и токены безопасности.
Вместо массовых фишинговых кампаний Scattered Spider предпочитает высокоточные методы. Один из ключевых приемов — атаки «браузер в браузере» (Browser-in-the-Browser, BitB) и извлечение данных автозаполнения. Эти техники позволяют создавать поддельные оверлеи для окон аутентификации, которые крадут учетные данные пользователя в обход традиционных средств защиты, таких как системы обнаружения и реагирования на конечных точках (Endpoint Detection and Response, EDR).
Другой вектор атаки — кража сеансовых токенов и персональных cookie-файлов непосредственно из памяти браузера. Это позволяет злоумышленникам обходить многофакторную аутентификацию (MFA) и захватывать активные сессии пользователей, получая полный доступ к их аккаунтам без необходимости знать пароль. В дополнение к этому используются вредоносные расширения и инъекции JavaScript-кода через так называемые «drive-by» атаки.
Разведка также ведется непосредственно из браузера. Используя Web API, такие как WebRTC и CORS, а также анализируя установленные расширения, Scattered Spider составляет карту критически важных внутренних систем и изучает целевую среду. Детальный анализ их методов представлен в отчете Scattered Spider Inside the Browser: Tracing Threads of Compromise.
Для противодействия таким угрозам необходим многоуровневый подход. Первая линия обороны — защита от кражи учетных данных с помощью анализа выполнения скриптов в реальном времени. Внедрение защиты JavaScript на уровне runtime позволяет анализировать поведение скриптов и перехватывать опасные действия, которые невидимы для EDR.
Вторая мера — защита сессий от захвата. Это достигается путем ограничения доступа неавторизованных скриптов к чувствительным артефактам сессии, таким как токены и cookie-файлы. Применение контекстуальных политик безопасности, основанных на состоянии устройства, проверке личности и уровне доверия к сети, блокирует попытки перехвата сеансов.
Третий компонент — управление расширениями. Учитывая, что только в Google Chrome Web Store насчитывается более 130 000 расширений, необходим строгий контроль. Решение заключается во внедрении надежной системы управления, которая разрешает установку только проверенных расширений с подтвержденными разрешениями и блокирует выполнение всех недоверенных скриптов.
Четвертый шаг — срыв разведки злоумышленников. Этого можно добиться, отключая чувствительные API или заменяя их «приманками» (decoys), которые предоставляют ложную информацию. Адаптивные политики гарантируют, что легитимные рабочие процессы не будут нарушены, что особенно важно для устройств BYOD (Bring Your Own Device) и неуправляемых конечных точек.
Пятая стратегия заключается в интеграции телеметрии браузера в общую систему безопасности. Атаки без использования вредоносного ПО, происходящие внутри браузера, часто остаются невидимыми. Передача журналов активности браузера в платформы SIEM, SOAR и ITDR позволяет сопоставлять события в браузере с активностью на конечной точке, ускоряя реагирование на инциденты и повышая эффективность поиска угроз.
Руководителям по безопасности рекомендуется провести оценку рисков с помощью инструментов, подобных BrowserTotal™, и внедрить комплексное решение для защиты браузеров. Необходимо определить контекстуальные политики для Web API, захвата учетных данных и установки расширений. Интеграция телеметрии браузера, регулярный аудит расширений и применение принципа наименьших привилегий к API должны стать стандартной практикой.
Применение этих мер обеспечивает не только защиту от фишинга, но и безопасное использование генеративного ИИ, предотвращение утечек данных (DLP), защиту подрядчиков и сотрудников с личными устройствами (BYOD), а также усиление архитектуры Zero Trust. Браузер стал новым периметром идентичности, и для его защиты необходима платформа безопасности, работающая в режиме реального времени и способная остановить атаку в её источнике. Для получения дополнительной информации эксперты компании Seraphic предлагают консультации по внедрению безопасных корпоративных браузеров.
Изображение носит иллюстративный характер
Ключевым примером этой угрозы является группировка Scattered Spider, также известная как UNC3944, Octo Tempest и Muddled Libra. За последние два года она значительно развила свои методы, сфокусировавшись на точечных атаках на человеческую идентичность и браузерную среду. Этот подход отличает её от других известных кибергруппировок, таких как Lazarus Group, Fancy Bear или REvil. Основная цель Scattered Spider — получение конфиденциальной информации, хранящейся непосредственно во вкладках браузера: календари, учетные данные и токены безопасности.
Вместо массовых фишинговых кампаний Scattered Spider предпочитает высокоточные методы. Один из ключевых приемов — атаки «браузер в браузере» (Browser-in-the-Browser, BitB) и извлечение данных автозаполнения. Эти техники позволяют создавать поддельные оверлеи для окон аутентификации, которые крадут учетные данные пользователя в обход традиционных средств защиты, таких как системы обнаружения и реагирования на конечных точках (Endpoint Detection and Response, EDR).
Другой вектор атаки — кража сеансовых токенов и персональных cookie-файлов непосредственно из памяти браузера. Это позволяет злоумышленникам обходить многофакторную аутентификацию (MFA) и захватывать активные сессии пользователей, получая полный доступ к их аккаунтам без необходимости знать пароль. В дополнение к этому используются вредоносные расширения и инъекции JavaScript-кода через так называемые «drive-by» атаки.
Разведка также ведется непосредственно из браузера. Используя Web API, такие как WebRTC и CORS, а также анализируя установленные расширения, Scattered Spider составляет карту критически важных внутренних систем и изучает целевую среду. Детальный анализ их методов представлен в отчете Scattered Spider Inside the Browser: Tracing Threads of Compromise.
Для противодействия таким угрозам необходим многоуровневый подход. Первая линия обороны — защита от кражи учетных данных с помощью анализа выполнения скриптов в реальном времени. Внедрение защиты JavaScript на уровне runtime позволяет анализировать поведение скриптов и перехватывать опасные действия, которые невидимы для EDR.
Вторая мера — защита сессий от захвата. Это достигается путем ограничения доступа неавторизованных скриптов к чувствительным артефактам сессии, таким как токены и cookie-файлы. Применение контекстуальных политик безопасности, основанных на состоянии устройства, проверке личности и уровне доверия к сети, блокирует попытки перехвата сеансов.
Третий компонент — управление расширениями. Учитывая, что только в Google Chrome Web Store насчитывается более 130 000 расширений, необходим строгий контроль. Решение заключается во внедрении надежной системы управления, которая разрешает установку только проверенных расширений с подтвержденными разрешениями и блокирует выполнение всех недоверенных скриптов.
Четвертый шаг — срыв разведки злоумышленников. Этого можно добиться, отключая чувствительные API или заменяя их «приманками» (decoys), которые предоставляют ложную информацию. Адаптивные политики гарантируют, что легитимные рабочие процессы не будут нарушены, что особенно важно для устройств BYOD (Bring Your Own Device) и неуправляемых конечных точек.
Пятая стратегия заключается в интеграции телеметрии браузера в общую систему безопасности. Атаки без использования вредоносного ПО, происходящие внутри браузера, часто остаются невидимыми. Передача журналов активности браузера в платформы SIEM, SOAR и ITDR позволяет сопоставлять события в браузере с активностью на конечной точке, ускоряя реагирование на инциденты и повышая эффективность поиска угроз.
Руководителям по безопасности рекомендуется провести оценку рисков с помощью инструментов, подобных BrowserTotal™, и внедрить комплексное решение для защиты браузеров. Необходимо определить контекстуальные политики для Web API, захвата учетных данных и установки расширений. Интеграция телеметрии браузера, регулярный аудит расширений и применение принципа наименьших привилегий к API должны стать стандартной практикой.
Применение этих мер обеспечивает не только защиту от фишинга, но и безопасное использование генеративного ИИ, предотвращение утечек данных (DLP), защиту подрядчиков и сотрудников с личными устройствами (BYOD), а также усиление архитектуры Zero Trust. Браузер стал новым периметром идентичности, и для его защиты необходима платформа безопасности, работающая в режиме реального времени и способная остановить атаку в её источнике. Для получения дополнительной информации эксперты компании Seraphic предлагают консультации по внедрению безопасных корпоративных браузеров.
