Киберпреступная супергруппа Scattered LAPSUS$ Hunters (SLH) внедрила новую тактику социальной инженерии, предлагая женщинам авансовые выплаты в размере от 500 до 1000 долларов за каждый совершенный звонок. Эти финансовые стимулы направлены на организацию голосового фишинга (вишинга), целями которого становятся корпоративные службы ИТ-поддержки и колл-центры. Новобранцам предоставляются заранее написанные сценарии для точного выполнения атак.
Группировка SLH представляет собой мощный альянс трех крупных киберпреступных организаций: LAPSUS$, ShinyHunters и Scattered Spider, последняя из которых также отслеживается исследовательским подразделением Palo Alto Networks Unit 42 под псевдонимом Muddled Libra. Данный синдикат характеризуется высокой квалификацией в области эксплуатации человеческой психологии, предпочитая действовать незаметно, сохранять постоянный доступ к скомпрометированным системам и сливаться с обычным трафиком за счет использования легитимных ИТ-инструментов.
Согласно новому аналитическому документу компании Dataminr, привлечение женских голосов имеет четкую стратегическую цель. В отчете об угрозах отмечается: «SLH диверсифицирует свой пул социальной инженерии, целенаправленно нанимая женщин для проведения вишинговых атак, что, вероятно, повысит вероятность успешного внедрения в службу поддержки». Эксперты Dataminr подчеркивают, что эта кампания «представляет собой расчетливую эволюцию тактики SLH... Специально ища женские голоса, группа, вероятно, стремится обойти «традиционные» профили злоумышленников», к выявлению которых подготовлен персонал ИТ-отделов.
Методология атак SLH строго разделена на два основных этапа. На первой фазе злоумышленницы выдают себя за корпоративных сотрудников и по телефону убеждают ИТ-специалистов выполнить сброс паролей или настроек многофакторной аутентификации (MFA). Для обхода MFA применяются такие методы, как бомбардировка запросами (MFA prompt bombing) и подмена SIM-карт (SIM swapping). В результате ИТ-персонал обманным путем принуждают установить инструменты удаленного мониторинга и управления (RMM) для обеспечения первичного доступа в сеть.
На этапе активности после первоначальной компрометации хакеры осуществляют боковое перемещение внутри виртуализированных сред корпоративной инфраструктуры. Главными задачами на этой стадии становятся повышение привилегий и прямая эксфильтрация конфиденциальных корпоративных данных. В некоторых зафиксированных случаях финальным этапом атаки становится развертывание программ-вымогателей (ransomware).
Чтобы избежать обнаружения, инфраструктура синдиката базируется на использовании легитимных сервисов. Сетевой арсенал SLH и Scattered Spider включает резидентные прокси-сети, такие как Luminati и OxyLabs. Для скрытого проброса портов и обеспечения связи используются инструменты туннелирования: Ngrok, Teleport и Pinggy.
Для скрытной передачи украденной информации применяются исключительно бесплатные общедоступные сервисы обмена файлами, включая , , и . Разведка и атаки на облачные среды Microsoft Azure осуществляются с использованием интерфейса Graph API, а для перечисления и сбора данных из Active Directory применяется специализированный инструмент ADRecon.
Практическое применение этих методов зафиксировано в конкретном инциденте, расследованном подразделением Palo Alto Networks Unit 42 в сентябре 2025 года. В ходе этой атаки представители Scattered Spider успешно позвонили в службу ИТ-поддержки для получения привилегированных учетных данных. Получив доступ, хакеры создали и использовали виртуальную машину (VM) для проведения разведки, сосредоточившись на перечислении объектов Active Directory.
В рамках сентябрьского инцидента основной целью хакеров стала выгрузка файлов почтовых ящиков Outlook и попытка кражи информации из корпоративной базы данных Snowflake. В отчете Palo Alto Networks Unit 42, опубликованном ранее в этом месяце, подчеркивается обширная история атак Scattered Spider на среды Microsoft Azure: «Сосредотачиваясь на компрометации учетных данных и социальной инженерии, этот субъект угроз использует легитимные инструменты и существующую инфраструктуру, чтобы слиться с толпой. Они работают тихо и поддерживают постоянный доступ».
Изображение носит иллюстративный характер
Группировка SLH представляет собой мощный альянс трех крупных киберпреступных организаций: LAPSUS$, ShinyHunters и Scattered Spider, последняя из которых также отслеживается исследовательским подразделением Palo Alto Networks Unit 42 под псевдонимом Muddled Libra. Данный синдикат характеризуется высокой квалификацией в области эксплуатации человеческой психологии, предпочитая действовать незаметно, сохранять постоянный доступ к скомпрометированным системам и сливаться с обычным трафиком за счет использования легитимных ИТ-инструментов.
Согласно новому аналитическому документу компании Dataminr, привлечение женских голосов имеет четкую стратегическую цель. В отчете об угрозах отмечается: «SLH диверсифицирует свой пул социальной инженерии, целенаправленно нанимая женщин для проведения вишинговых атак, что, вероятно, повысит вероятность успешного внедрения в службу поддержки». Эксперты Dataminr подчеркивают, что эта кампания «представляет собой расчетливую эволюцию тактики SLH... Специально ища женские голоса, группа, вероятно, стремится обойти «традиционные» профили злоумышленников», к выявлению которых подготовлен персонал ИТ-отделов.
Методология атак SLH строго разделена на два основных этапа. На первой фазе злоумышленницы выдают себя за корпоративных сотрудников и по телефону убеждают ИТ-специалистов выполнить сброс паролей или настроек многофакторной аутентификации (MFA). Для обхода MFA применяются такие методы, как бомбардировка запросами (MFA prompt bombing) и подмена SIM-карт (SIM swapping). В результате ИТ-персонал обманным путем принуждают установить инструменты удаленного мониторинга и управления (RMM) для обеспечения первичного доступа в сеть.
На этапе активности после первоначальной компрометации хакеры осуществляют боковое перемещение внутри виртуализированных сред корпоративной инфраструктуры. Главными задачами на этой стадии становятся повышение привилегий и прямая эксфильтрация конфиденциальных корпоративных данных. В некоторых зафиксированных случаях финальным этапом атаки становится развертывание программ-вымогателей (ransomware).
Чтобы избежать обнаружения, инфраструктура синдиката базируется на использовании легитимных сервисов. Сетевой арсенал SLH и Scattered Spider включает резидентные прокси-сети, такие как Luminati и OxyLabs. Для скрытого проброса портов и обеспечения связи используются инструменты туннелирования: Ngrok, Teleport и Pinggy.
Для скрытной передачи украденной информации применяются исключительно бесплатные общедоступные сервисы обмена файлами, включая , , и . Разведка и атаки на облачные среды Microsoft Azure осуществляются с использованием интерфейса Graph API, а для перечисления и сбора данных из Active Directory применяется специализированный инструмент ADRecon.
Практическое применение этих методов зафиксировано в конкретном инциденте, расследованном подразделением Palo Alto Networks Unit 42 в сентябре 2025 года. В ходе этой атаки представители Scattered Spider успешно позвонили в службу ИТ-поддержки для получения привилегированных учетных данных. Получив доступ, хакеры создали и использовали виртуальную машину (VM) для проведения разведки, сосредоточившись на перечислении объектов Active Directory.
В рамках сентябрьского инцидента основной целью хакеров стала выгрузка файлов почтовых ящиков Outlook и попытка кражи информации из корпоративной базы данных Snowflake. В отчете Palo Alto Networks Unit 42, опубликованном ранее в этом месяце, подчеркивается обширная история атак Scattered Spider на среды Microsoft Azure: «Сосредотачиваясь на компрометации учетных данных и социальной инженерии, этот субъект угроз использует легитимные инструменты и существующую инфраструктуру, чтобы слиться с толпой. Они работают тихо и поддерживают постоянный доступ».
