Заявление известной киберпреступной группировки Scattered Spider о прекращении деятельности оказалось стратегическим маневром. Новая активность, выявленная фирмой по анализу угроз ReliaQuest, указывает на то, что хакеры не только не прекратили атаки, но и сменили фокус, сосредоточившись на финансовом секторе.
Доказательством возобновления деятельности служит рост числа фишинговых доменов, имитирующих ресурсы финансовых организаций, а также недавно зафиксированное целенаправленное вторжение в системы неназванной банковской организации в США. Эти действия прямо противоречат публичным заявлениям группы о «выходе на пенсию».
Атака на американский банк была многоэтапной. Начальный доступ был получен с помощью методов социальной инженерии, направленных на учетную запись одного из руководителей. Злоумышленники использовали функцию самоуправляемого сброса пароля в Azure Active Directory для компрометации аккаунта.
Получив первоначальный доступ, хакеры немедленно начали продвижение по сети. Они получили доступ к конфиденциальным документам IT-отдела и службы безопасности, после чего осуществили боковое перемещение через среду Citrix и VPN. Это позволило им глубоко проникнуть в инфраструктуру жертвы.
Ключевым этапом атаки стала компрометация инфраструктуры VMware ESXi с целью получения учетных данных. Для повышения своих привилегий злоумышленники сбросили пароль сервисной учетной записи Veeam и присвоили контролируемому ими аккаунту права глобального администратора Azure (Azure Global Administrator).
Чтобы избежать обнаружения, группа использовала тактику уклонения, перемещая виртуальные машины внутри скомпрометированной сети. Конечной целью злоумышленников была кража данных из таких репозиториев, как Snowflake и Amazon Web Services (AWS), что указывает на их интерес к масштабным массивам ценной информации.
Scattered Spider представляет собой неформальное хакерское объединение, являющееся частью более крупного онлайн-сообщества под названием The Com. Анализ их деятельности показывает значительное пересечение с такими известными группами, как ShinyHunters и LAPSUS$.
Взаимосвязь этих трех кластеров настолько тесна, что эксперты объединили их под общим названием «scattered LAPSUS$ hunters». Эта синергия позволяет им обмениваться тактиками и ресурсами, повышая эффективность своих операций.
Примером такого взаимодействия является деятельность ShinyHunters. Эта группа занималась вымогательством после кражи данных из экземпляров Salesforce своих жертв. Примечательно, что эти же цели за несколько месяцев до этого были скомпрометированы другой группой, которую компания Mandiant (принадлежащая Google) отслеживает под кодовым названием UNC6040.
Карл Зиглер, руководитель отдела исследований безопасности SpiderLabs Threat Intelligence в компании Trustwave, утверждает, что к заявлению об уходе на пенсию следует относиться со «значительной долей скептицизма» и рассматривать его как «стратегическое отступление».
По мнению Зиглера, такие заявления делаются для снижения давления со стороны правоохранительных органов, переоценки своих методов, оттачивания мастерства и усложнения будущей атрибуции атак. Поводом для такого шага могла стать внутренняя компрометация инфраструктуры, например, взлом системы, раскрытие канала связи или арест низкоуровневых участников.
Эксперты из ReliaQuest предупреждают организации не поддаваться ложному чувству безопасности. Подобно группам вымогателей, киберпреступные коллективы часто объявляют о прекращении деятельности лишь для того, чтобы перегруппироваться и позже появиться под новым именем.
Изображение носит иллюстративный характер
Доказательством возобновления деятельности служит рост числа фишинговых доменов, имитирующих ресурсы финансовых организаций, а также недавно зафиксированное целенаправленное вторжение в системы неназванной банковской организации в США. Эти действия прямо противоречат публичным заявлениям группы о «выходе на пенсию».
Атака на американский банк была многоэтапной. Начальный доступ был получен с помощью методов социальной инженерии, направленных на учетную запись одного из руководителей. Злоумышленники использовали функцию самоуправляемого сброса пароля в Azure Active Directory для компрометации аккаунта.
Получив первоначальный доступ, хакеры немедленно начали продвижение по сети. Они получили доступ к конфиденциальным документам IT-отдела и службы безопасности, после чего осуществили боковое перемещение через среду Citrix и VPN. Это позволило им глубоко проникнуть в инфраструктуру жертвы.
Ключевым этапом атаки стала компрометация инфраструктуры VMware ESXi с целью получения учетных данных. Для повышения своих привилегий злоумышленники сбросили пароль сервисной учетной записи Veeam и присвоили контролируемому ими аккаунту права глобального администратора Azure (Azure Global Administrator).
Чтобы избежать обнаружения, группа использовала тактику уклонения, перемещая виртуальные машины внутри скомпрометированной сети. Конечной целью злоумышленников была кража данных из таких репозиториев, как Snowflake и Amazon Web Services (AWS), что указывает на их интерес к масштабным массивам ценной информации.
Scattered Spider представляет собой неформальное хакерское объединение, являющееся частью более крупного онлайн-сообщества под названием The Com. Анализ их деятельности показывает значительное пересечение с такими известными группами, как ShinyHunters и LAPSUS$.
Взаимосвязь этих трех кластеров настолько тесна, что эксперты объединили их под общим названием «scattered LAPSUS$ hunters». Эта синергия позволяет им обмениваться тактиками и ресурсами, повышая эффективность своих операций.
Примером такого взаимодействия является деятельность ShinyHunters. Эта группа занималась вымогательством после кражи данных из экземпляров Salesforce своих жертв. Примечательно, что эти же цели за несколько месяцев до этого были скомпрометированы другой группой, которую компания Mandiant (принадлежащая Google) отслеживает под кодовым названием UNC6040.
Карл Зиглер, руководитель отдела исследований безопасности SpiderLabs Threat Intelligence в компании Trustwave, утверждает, что к заявлению об уходе на пенсию следует относиться со «значительной долей скептицизма» и рассматривать его как «стратегическое отступление».
По мнению Зиглера, такие заявления делаются для снижения давления со стороны правоохранительных органов, переоценки своих методов, оттачивания мастерства и усложнения будущей атрибуции атак. Поводом для такого шага могла стать внутренняя компрометация инфраструктуры, например, взлом системы, раскрытие канала связи или арест низкоуровневых участников.
Эксперты из ReliaQuest предупреждают организации не поддаваться ложному чувству безопасности. Подобно группам вымогателей, киберпреступные коллективы часто объявляют о прекращении деятельности лишь для того, чтобы перегруппироваться и позже появиться под новым именем.
