Группа хакеров, известная как Scattered Spider или UNC3944, представляет собой серьезную угрозу в сфере кибербезопасности. С 2022 года они специализируются на атаках социальной инженерии, направленных на получение конфиденциальной информации пользователей, включая учетные данные и токены многофакторной аутентификации. В 2025 году их деятельность распространилась на множество известных брендов, таких как Klaviyo, HubSpot и Pure Storage, а также на такие крупные корпорации, как Nike, T-Mobile и Twitter/X.
Тактика и методы Scattered Spider
Недавние исследования компании Silent Push выявили пять уникальных фишинговых наборов, используемых группой Scattered Spider. Эти наборы претерпели множество обновлений и сокращение использования устаревших технологий, что указывает на эволюцию их тактики, методов и процедур (TTP).
Возвращение Spectre RAT
Одним из ключевых элементов их арсенала является троянец удаленного доступа Spectre (RAT), обеспечивающий постоянный доступ к скомпрометированным системам. Новая версия Spectre RAT включает в себя:
- Методы обфускации;
- Сложные механизмы управления (C2);
- Методы постоянной установки с использованием мьютексов для избегания одновременного запуска нескольких экземпляров.
Эта модификация вредоносного ПО разработана так, чтобы быть максимально скрытой и легко адаптируемой, что указывает на постоянное развитие группы.
Стратегии фишинг-атак
Фишинговые атаки, проводимые Scattered Spider, часто включают:
- Создание подделанных доменов, выдающих себя за легитимные сервисы;
- Использование методов социальной инженерии для привлечения жертв к предоставлению конфиденциальной информации;
- Регистрацию динамических доменов, что затрудняет обнаружение атак.
Группа также создает поддомены, аналогичные названиям брендов своих целей, часто включая ключевые слова, связанные с многофакторной аутентификацией.
Изменения в инфраструктуре
Исследование Silent Push показало, что Scattered Spider отказывается от определенных хостинг-провайдеров в пользу других, которые предлагают анонимные услуги. Это включает аренду серверов через BitLaunch, обычно оплачиваемых криптовалютой, и новую кооперацию с хостинговыми компаниями, такими как Cloudflare. Многие домены работают всего несколько часов, что усложняет их анализ и обнаружение.
Судебные иски и arrestы
Прошлый год был непростым для группы: несколько ее членов столкнулись с судебными исками, и серия арестов оказала влияние на их деятельность. Однако угроза, исходящая от Scattered Spider, остается серьезной. Silent Push продолжает тщательно отслеживать эволюционирующие стратегии группы и усиливать защиту для предвидения будущих атак.
Постоянные усилия по мониторингу и анализу свидетельствуют о готовности группы адаптировать и совершенствовать свои методы, обеспечивая устойчивый успех в своих киберпреступлениях.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Scattered Spider: Эволюция атак и новые угрозы кибербезопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.