Компания Mandiant, принадлежащая Google, предупреждает, что финансово мотивированная группировка Scattered Spider, которую связывают с недавними взломами MGM Resorts и Caesars Entertainment, расширяет список своих целей, а также стратегии монетизации.
Эксперты Mandiant говорят, что группировка, которую разные компании отслеживают как UNC3944, 0ktapus (Group-IB) и Scatter Swine (Okta), уже атаковала как минимум 100 организаций, в основном расположеных в США и Канаде.
Как правило группировка занимается фишинговыми кампаниями через SMS (так называемый «смишинг») и социальной инженерией для взлома корпоративных сетей. Так, злоумышленники выдают себя за специалистов технической поддержки (чтобы выманить у пользователей учетные данные), используют атаки на подмену SIM карты (чтобы захватить контроль над нужным телефонным номером), а также фишинг и другие методы (чтобы обойти многофакторную аутентификацию). Однако сейчас, по словам исследователей, группа расширяет свой инструментарий и, скорее всего, в будущем станет атаковать большее количество отраслей.
Mandiant отмечает, что в середине 2023 года хак-группа перешла на использование программ-вымогателей, что может оказаться весьма выгодным для преступников. Так, в некоторых зафиксированных атаках использовался шифровальщик ALPHV (BlackCat), но Mandiant полагает, что хакеры могут применять и другие вымогательские программы, а также «дополнительные стратегии монетизации для получения максимальной прибыли в будущем».
Также в атаках UNC3944 использует выглядящие легитимно фишинговые страницы, на которых часто используются приманки, связанные со «службой поддержки» или SSO. Вероятно, для придания своему фишингу большей правдоподобности хакеры используют информацию, полученную в сетях жертв.
По данным исследователей, с 2021 года группа полагалась как минимум три фишинговых набора, включая EightBait (который может развернуть AnyDesk на системах жертв) и два набора, которые используют данные веб-страниц целевой организации, причем разница в коде между ними оказывается совсем незначительной.
В дополнение к «смишингу» и социальной инженерии группа также применяет инструменты для сбора учетных данных, тщательно ищет во внутренних системах жертвы любые логины и пароли, использует общедоступные инструменты для сбора учетных данных из внутренних репозиториев GitHub, а также опенсорсный MicroBurst для выявления учетных данных и секретов Azure. Кроме этого UNC3944 собирает учетные данные с помощью инфостилеров, включая Ultraknot (также известную как Meduza stealer), Vidar и Atomic.
Также Mandiant пишет, что UNC3944 эксплуатирует среду Microsoft Entra для доступа к ограниченным ресурсам, создает виртуальные машины для маскировки доступа, использует Azure Data Factory для кражи данных, а доступ к облачным средам жертв для размещения вредоносных инструментов и бокового перемещения.
Эксперты Mandiant говорят, что группировка, которую разные компании отслеживают как UNC3944, 0ktapus (Group-IB) и Scatter Swine (Okta), уже атаковала как минимум 100 организаций, в основном расположеных в США и Канаде.
Как правило группировка занимается фишинговыми кампаниями через SMS (так называемый «смишинг») и социальной инженерией для взлома корпоративных сетей. Так, злоумышленники выдают себя за специалистов технической поддержки (чтобы выманить у пользователей учетные данные), используют атаки на подмену SIM карты (чтобы захватить контроль над нужным телефонным номером), а также фишинг и другие методы (чтобы обойти многофакторную аутентификацию). Однако сейчас, по словам исследователей, группа расширяет свой инструментарий и, скорее всего, в будущем станет атаковать большее количество отраслей.
Mandiant отмечает, что в середине 2023 года хак-группа перешла на использование программ-вымогателей, что может оказаться весьма выгодным для преступников. Так, в некоторых зафиксированных атаках использовался шифровальщик ALPHV (BlackCat), но Mandiant полагает, что хакеры могут применять и другие вымогательские программы, а также «дополнительные стратегии монетизации для получения максимальной прибыли в будущем».
Также в атаках UNC3944 использует выглядящие легитимно фишинговые страницы, на которых часто используются приманки, связанные со «службой поддержки» или SSO. Вероятно, для придания своему фишингу большей правдоподобности хакеры используют информацию, полученную в сетях жертв.
По данным исследователей, с 2021 года группа полагалась как минимум три фишинговых набора, включая EightBait (который может развернуть AnyDesk на системах жертв) и два набора, которые используют данные веб-страниц целевой организации, причем разница в коде между ними оказывается совсем незначительной.
В дополнение к «смишингу» и социальной инженерии группа также применяет инструменты для сбора учетных данных, тщательно ищет во внутренних системах жертвы любые логины и пароли, использует общедоступные инструменты для сбора учетных данных из внутренних репозиториев GitHub, а также опенсорсный MicroBurst для выявления учетных данных и секретов Azure. Кроме этого UNC3944 собирает учетные данные с помощью инфостилеров, включая Ultraknot (также известную как Meduza stealer), Vidar и Atomic.
Также Mandiant пишет, что UNC3944 эксплуатирует среду Microsoft Entra для доступа к ограниченным ресурсам, создает виртуальные машины для маскировки доступа, использует Azure Data Factory для кражи данных, а доступ к облачным средам жертв для размещения вредоносных инструментов и бокового перемещения.
