Федеральное бюро расследований США (FBI) зафиксировало рост активности хакерской группировки Scattered Spider, которая сосредоточилась на атаках по авиакомпаниям.
В ведомстве сообщили, что активно взаимодействуют с игроками авиационной отрасли и профильными компаниями, чтобы сдержать атаки и помочь пострадавшим.
«Злоумышленники часто применяют приёмы социальной инженерии, выдавая себя за сотрудников или подрядчиков, чтобы обмануть службы технической поддержки и получить доступ», — говорится в сообщении FBI на платформе X. «Они также умеют обходить многофакторную аутентификацию, убеждая поддержку добавить к взломанным аккаунтам неподтверждённые MFA-устройства».
Кроме авиакомпаний, атаки Scattered Spider затрагивают и внешних IT-партнёров, угрожая и доверенным подрядчикам. Обычно такие взломы служат началом краж данных, вымогательств и распространения программ-вымогателей.
Эксперт по безопасности из Palo Alto Networks, подразделение Unit 42, Сэм Рубин подтвердил факты атак на авиационный сектор и предупредил компании о серьёзной угрозе от сложных попыток социальной инженерии и подозрительных запросов на сброс MFA.
Компания Mandiant, подконтрольная Google и ранее предупреждавшая об атаках Scattered Spider на страховую индустрию США, также подтвердила похожие инциденты в сфере авиаперевозок и транспортных услуг.
«Рекомендуем немедленно усилить процедуры проверки личности в службах поддержки перед добавлением новых телефонных номеров к аккаунтам сотрудников или подрядчиков — именно это позволяет злоумышленникам сбрасывать пароли, добавлять MFA-устройства и получать персональные данные для дальнейших атак», — подчеркнул Чарльз Кармакал из Mandiant.
Успех Scattered Spider объясняется глубоким пониманием человеческой психологии. Несмотря на технические барьеры вроде MFA, злоумышленники делают ставку на человеческий фактор: служба техподдержки — такой же человек, который может поверить убедительной истории.
Это не грубая сила, а игра на доверии — достаточно ненадолго расположить собеседника к себе, чтобы пробраться внутрь системы. В условиях спешки или давления поддельный запрос легче пропускают. Поэтому компаниям нужно выходить за пределы стандартной защиты устройств и по-новому смотреть на проверку личности в режиме реального времени.
Действия Scattered Spider пересекаются с группами Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud и UNC3944. Первоначально они прославились кражами SIM-карт, сейчас же используют социальную инженерию, фишинг техподдержек и инсайдерские доступы для проникновения в гибридные инфраструктуры.
«Scattered Spider — это новое поколение угроз программ-вымогателей, где объединяются мастерство социальной инженерии, сложные технические приёмы и молниеносное вымогательство с двойным шантажом», — объясняют эксперты Halcyon. «За несколько часов группа взламывает систему, обеспечивает постоянный доступ, собирает конфиденциальные данные, блокирует восстановление и запускает шифровальщик как локально, так и в облаке».
Выделяется сочетание детальной подготовки и стремительного взлома. Scattered Spider не просто пользуется украденными данными — они тщательно изучают социальные сети и утечки, чтобы максимально достоверно имитировать настоящих сотрудников и не выдавать себя до последнего.
Scattered Spider входит в аморфный союз Com (или Comm), куда также входят такие группы, как LAPSUS$. Активность наблюдается как минимум с 2021 года.
«Группа образовалась на платформах Discord и Telegram, объединяя участников из разных сфер и с разными интересами», — рассказывают специалисты Unit 42. «Гибкая структура и отсутствие чёткой иерархии делают её чрезвычайно сложной для ликвидации».
В отчёте ReliaQuest описано, как в конце прошлого месяца «пауки» взломали анонимную организацию, нацелившись на её финансового директора и используя полученный доступ для точечной атаки.
Взломщики тщательно выбирали ключевых сотрудников и имитировали звонки от CFO в IT-поддержку с целью заставить сбросить MFA и сменить учётные данные.
Они также применяли разведданные — дату рождения и последние четыре цифры социального страхования директора — чтобы пройти авторизацию через публичный портал компании и подтвердить личность сотрудника.
«Scattered Spider предпочитает взламывать аккаунты топ-менеджеров — из-за их высоких прав и быстрого реагирования служб поддержки на их запросы, что резко повышает шансы успешной социальной инженерии», — рассказали в ReliaQuest. «Доступ к таким аккаунтам даёт выход к критически важным системам, поэтому тщательная разведка — основа каждой атаки».
Обладатели доступа от CFO совершили ряд действий, демонстрирующих гибкость и скорость наращивания полномочий —
- Перечислили привилегированные аккаунты, группы и сервисные принципы в Entra ID для повышения прав и сохранения доступа
- Изучили SharePoint, чтобы найти конфиденциальные файлы и ознакомиться с архитектурой IT и облачных сервисов для адаптации атаки
- Внедрились в виртуальную инфраструктуру Horizon VDI с украденными данными финансового директора, скомпрометировали ещё два аккаунта через социальную инженерию, получили чувствительную информацию и взяли под контроль виртуальную среду
- Взломали VPN организации для постоянного удалённого доступа к внутренним ресурсам
- Восстановили ранее выведенные из эксплуатации виртуальные машины, создали новые для доступа к VMware vCenter, отключили виртуальный контроллер домена и добыли базу данных NTDS.dit
- С помощью повышенных прав открыли хранилище паролей CyberArk и получили более 1400 конфиденциальных данных
- Продвинули проникновение, назначая администраторские роли скомпрометированным аккаунтам
- Запустили легальные инструменты, вроде ngrok, для сохранения постоянного контроля над виртуальными машинами
- Когда инцидент обнаружила служба безопасности, применили «тактику выжженной земли», быстро удаляя правила Azure Firewall, что нарушило работу всей компании
ReliaQuest также рассказывает, как команда реагирования и злоумышленники боролись за контроль над ролью глобального администратора в Entra ID и что лишь вмешательство Microsoft позволило вернуть управление.
Важный вывод: социальные атаки давно вышли за рамки простого фишинга и превратились в комплексные кампании подделки личности с продуманными сценариями обхода защиты. От смены SIM-карт до телефонного обмана и повышения привилегий — Scattered Spider показывает, как стремительно могут действовать злоумышленники, когда им дают возможность.
Для большинства компаний первоочередной задачей должна стать не покупка новых инструментов, а ужесточение внутренних процедур — особенно в сфере согласования с техподдержкой и восстановления доступа. Чем активнее участвуют сотрудники, тем важнее обучать их на реальных примерах.
«Методы доступа Scattered Spider показывают серьёзную слабость многих организаций: чрезмерную зависимость от человеческого фактора при проверке личности», — отмечают исследователи безопасности Алекса Феминелла и Джеймс Сян.
«Используя доверие как оружие, группа обходила даже самые надёжные технические механизмы, демонстрируя, насколько легко злоумышленники могут манипулировать установленными процессами. Эта уязвимость ясно показывает, насколько срочно надо пересматривать и усиливать протоколы проверки личности, чтобы снизить риски ошибок сотрудников, через которые проходят враги».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru