Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ угроз SCATTERED SPIDER: атаки на авиацию и облака

3 мин
Киберпреступная группа SCATTERED SPIDER, долгие годы сосредоточенная на атаках в страховой и розничной сферах, недавно расширила свою деятельность, включив в неё авиационный сектор. Согласно данным CrowdStrike Services, во втором квартале 2025 года группа проявила особенно высокую активность в отношении организаций, базирующихся в США и Великобритании. Ключевым событием стала волна инцидентов, произошедших в конце июня 2025 года с участием американских авиакомпаний. Именно тогда эксперты зафиксировали эволюцию тактик, методов и процедур (TTP), используемых SCATTERED SPIDER, которые при этом сохранили общую логику и операционные схемы, характерные для группы. Основной метод компрометации знаменит своей социальной инженерией — voice phishing по отношению к сотрудникам службы технической поддержки. Целью таких звонков является получение учетных данных для доступа к системам Microsoft Entra ID, единому входу (SSO) и инфраструктуре виртуальных рабочих столов (VDI). По информации CrowdStrike
Оглавление

Группа SCATTERED SPIDER расширяет сферу атак на авиационный сектор

Киберпреступная группа SCATTERED SPIDER, долгие годы сосредоточенная на атаках в страховой и розничной сферах, недавно расширила свою деятельность, включив в неё авиационный сектор. Согласно данным CrowdStrike Services, во втором квартале 2025 года группа проявила особенно высокую активность в отношении организаций, базирующихся в США и Великобритании.

Новые тактики и масштаб атак

Ключевым событием стала волна инцидентов, произошедших в конце июня 2025 года с участием американских авиакомпаний. Именно тогда эксперты зафиксировали эволюцию тактик, методов и процедур (TTP), используемых SCATTERED SPIDER, которые при этом сохранили общую логику и операционные схемы, характерные для группы.

Основной метод компрометации знаменит своей социальной инженерией — voice phishing по отношению к сотрудникам службы технической поддержки. Целью таких звонков является получение учетных данных для доступа к системам Microsoft Entra ID, единому входу (SSO) и инфраструктуре виртуальных рабочих столов (VDI).

По информации CrowdStrike, операторы SCATTERED SPIDER обладают навыками профессионального обмана:

  • выдавая себя за законных сотрудников, они предоставляют точные ответы на вопросы службы технической поддержки;
  • используют эти данные для обхода многофакторной аутентификации и восстановления паролей;
  • после получения доступа переходят к платформам SaaS, собирая конфиденциальную информацию;
  • полученную информацию используют для дальнейших перемещений, вымогательства или других форм монетизации.

Методы разведки и проникновения в инфраструктуру

Расследование выявило широкий спектр инструментов и техник, применяемых группой в атаке:

  • разведка среды Active Directory с помощью специализированных скриптов, включая ADExplorer и PowerShell;
  • использование VMware vCenter для создания неуправляемых виртуальных машин;
  • подключение дисков виртуальных машин контроллеров домена с целью извлечения конфиденциальных файлов базы данных AD;
  • установка легитимных туннелей и прокси-серверов для обеспечения постоянного доступа и сокрытия активности;
  • манипуляция правилами электронной почты для удаления или перенаправления уведомлений о подозрительных действиях.

Главная цель злоумышленников — развертывание программ-вымогателей на инфраструктурах VMware ESXi. При неудаче развертывания шифровальщика группе грозит публикация похищенных данных и вымогательство двойного масштаба.

Социальная инженерия и инструменты для удержания доступа

SCATTERED SPIDER особо эффективна за счет:

  • использования социальной инженерии для захвата учетных записей сотрудников ИТ поддержки,
  • замены SIM-карт для обхода средств аутентификации,
  • применения инструментов удаленного доступа, таких как TeamViewer, для обеспечения долговременного контроля.

Группа активно эксплуатирует инфраструктуру крупнейших облачных провайдеров — Azure, AWS и Google Cloud Identity — для перемещения по сети и извлечения данных перед развертыванием программ-вымогателей с целью двойного вымогательства.

Рекомендации по защите и мониторингу

Специалисты по кибербезопасности советуют организациям, особенно в авиационном секторе, усилить защиту следующих направлений:

  • активное и всестороннее мониторинг инфраструктуры VMware, включая анализ журналов доступа для выявления несанкционированной активности;
  • отслеживание изменений в виртуальной инфраструктуре с применением средств автоматизации;
  • развертывание сборщиков телеметрии для улучшения видимости в виртуальных средах;
  • мониторинг активности в различных облачных приложениях для своевременного обнаружения подозрительных действий;
  • формирование и поддержание эффективных планов реагирования на инциденты, включая готовность к атаке программ-вымогателей.

В условиях роста сложности и изощренности кибератак особенно важна организация многоуровневой защиты и повышение осведомленности сотрудников, являющихся первыми «лицами» в борьбе с социальной инженерией.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ угроз SCATTERED SPIDER: атаки на авиацию и облака".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются