Хакерский коллектив ShinyHunters развернул новую, быстро распространяющуюся кампанию голосового фишинга (вишинга), нацеленную на среды Okta, Google и Microsoft. Эксперты призывают к использованию фишинг-устойчивой MFA, поскольку атаки используют кастомные наборы для компрометации SSO и кражи данных у крупных компаний.
Новая и явная волна атак голосового фишинга (вишинга), связываемая с печально известным хакерским коллективом ShinyHunters, стремительно распространяется. Защитникам настоятельно рекомендуется сохранять бдительность после инцидентов, затронувших как минимум три крупные организации. Похоже, кампания использует специализированные наборы для вишинга, нацеленные на среды Google, Microsoft и Okta, о чем сама Okta предупреждала на прошлой неделе. В результате могли пострадать специалист по бизнес-аналитике Crunchbase, платформа потокового вещания музыки SoundCloud и фирма по финансовому планированию и инвестициям Betterment. Чарльз Кармакал, технический директор Mandiant в Google Cloud, в числе тех, кто следит за развитием этой кампании. «Mandiant отслеживает новую, продолжающуюся кампанию под брендом ShinyHunters, использующую усовершенствованные методы вишинга для успешного компрометации учетных данных SSO жертв и регистрации устройств, контролируемых злоумышленниками, в решениях MFA жертв», — сообщил он Computer Weekly по электронной почте. «Это активная и продолжающаяся кампания. Получив первоначальный доступ, эти злоумышленники переходят в среды SaaS для эксфильтрации конфиденциальных данных. Субъект, идентифицирующий себя как ShinyHunters, обратился к некоторым организациям-жертвам с требованием выкупа». «Хотя это не является результатом уязвимости в продуктах или инфраструктуре поставщиков, мы настоятельно рекомендуем переходить на фишинг-устойчивую многофакторную аутентификацию (MFA), например, на ключи безопасности FIDO2 или passkeys, где это возможно», — отметил Кармакал. «Эти средства защиты устойчивы к атакам социальной инженерии, в отличие от аутентификации по запросу (push) или SMS. Администраторам также следует внедрять строгие политики авторизации приложений и отслеживать журналы на предмет аномальной активности API или несанкционированной регистрации устройств». Исследователи из Контрразведывательного подразделения (CTU) Sophos сообщили нашему сестринскому изданию Cybersecurity Dive, что они отслеживали около 150 доменов, контролируемых хакерами и используемых в кампании, большинство из которых, по всей видимости, были созданы в декабре 2025 года. Директор по разведывательной информации CTU Рэйф Пилинг заявил, что не может подтвердить, использовались ли все эти домены, но отметил, что злоумышленники, по-видимому, использовали их для создания фишинговых веб-сайтов, специфичных для целей, часто выдавая себя за поставщиков аутентификации, включая Okta.
Жертвы заявляют о себе
Crunchbase уже подтвердила, что хакеры похитили и опубликовали сжатый архив размером 402 МБ после неудачной попытки вымогательства, однако это не повлияло на повседневную деятельность, и инцидент в остальном полностью локализован. Компания сотрудничает с властями США в рамках расследования и анализирует утечку данных, чтобы определить необходимость юридического уведомления пользователей. Отдельно SoundCloud и Betterment также сообщили об утечках данных. SoundCloud, взлом которого произошел в декабре 2025 года, заявила, что вторжение приняло форму несанкционированной активности в панели управления вспомогательного сервиса, хотя в их уведомлении нет упоминания социальной инженерии или вишинга как источника. Компания сообщила, что скомпрометированные данные включали адреса электронной почты и общедоступную информацию, размещенную в профилях около 20% пользователей SoundCloud. Betterment, тем временем, сообщила об обнаружении взлома 9 января, когда «неавторизованное лицо получило доступ к определенным системам Betterment посредством социальной инженерии» в отношении их маркетинговых и операционных команд. Злоумышленники использовали этот доступ для отправки мошеннического сообщения, связанного с криптовалютой, некоторым клиентам, которые были уведомлены.
Адаптивный вишинг
В своем предупреждении Okta сообщила, что злоумышленники быстро дорабатывают кастомные наборы для вишинга, чтобы удовлетворить конкретные потребности своего персонала, занимающегося социальной инженерией. Такие наборы — вероятно, произошедшие из одного источника — «продаются» по модели «как услуга» (as-a-service) и предназначены не только для перехвата учетных данных ничего не подозревающего пользователя, но и для предоставления их операторам необходимого контекста в режиме реального времени для того, чтобы их цели одобрили запросы MFA или предприняли иные необходимые действия. Например, как указала Okta, их можно адаптировать для управления тем, какие страницы отображаются в веб-браузере пользователя, чтобы синхронизировать их со сценарием звонящего. «Как только вы берете управление одним из этих инструментов, вы сразу понимаете, почему мы наблюдаем рост объемов голосовых социальных инженерий», — заявил Мусса Диалло, исследователь угроз в Okta Threat Intelligence. «Используя эти наборы, злоумышленник, разговаривающий с целевым пользователем по телефону, может контролировать процесс аутентификации, пока пользователь взаимодействует со страницами фишинга учетных данных. Они могут контролировать, какие страницы видит цель в своем браузере, в идеальной синхронизации с инструкциями, которые они дают во время звонка». «Злоумышленник может использовать эту синхронизацию для обхода любой формы MFA, не устойчивой к фишингу», — добавил Диалло.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton