29/07/25
В последнее время они, похоже, всерьез сосредоточились на гипервизорах VMware ESXi в американских компаниях. Наибольшее количество жертв приходится на ритейл, авиалинии, транспортные и страховые компании.
По данным Google Threat Intelligence Group, злоумышленники придерживаются своей типичной тактики: вместо попыток эксплуатировать какие-либо уязвимости они используют социальную инженерию, благодаря чему им удается обходить даже самые зрелые средства безопасности, пишет CNews.
По сведениям исследователей, злоумышленники начинают со звонка в техподдержку целевой компании от лица одного из ее работников: хакеры просят поменять пароль к пользовательскому аккаунту Active Directory. Таким образом злоумышленники получают первоначальный доступ, после чего начинают интенсивно сканировать сетевые устройства на предмет ИТ-документации, чтобы определить наиболее интересные для них цели, - например, рабочие станции администраторов VMware vSphere. Кроме того, они пытаются получить сведения о названии доменов и группах безопасности, через которые можно получить административные разрешения в виртуальных средах.
В то же время они сканируют сеть на предмет средств управления привилегированным доступом (PAM), опять же, чтобы получить полезные им сведения о наиболее важных активах сети.
Как пишут исследователи Google, обладая данными о конкретном администраторе с высоким уровнем доступа хакеры снова звонят в техподдержку - уже от его имени - с просьбой произвести сброс пароля. Тем самым они перехватывают контроль над этим аккаунтом.
Далее злоумышленники пытаются получить доступ к управляющей виртуальной машине VMware vCenter Server Appliance, с помощью которой можно получить доступ к гипервизору ESXi.
Полученный к этому времени уровень доступа позволяет хакерам устанавливать SSH-соединения с хостами ESXi и перезадавать ключевой пароль. После этого злоумышленники осуществляют атаку disk-swap (подмена диска), чтобы выцедить критическую базу данных NTDS.dit. В ходе такой атаки злоумышленники отключают виртуальный доменный контроллер, а затем подключают связанный с ним диск к другой виртуальной машине, неподконтрольной гипервизору. Скопировав данные, они возвращают все к прежнему состоянию.
В конечном счете хакеры получают доступ ко всему, что может содержаться в виртуальной инфраструктуре, включая системы резервного копирования. Естественно, операторы Scattered Spider удаляют с ним все данные.
На последнем этапе атаки в виртуализированную среду заносятся исполняемые файлы шифровальщика, который блокирует в ней все данные.
Эксперты Google пишут, что и другие кибервымогатели все активнее перенимают тактику Scattered Spider, атакуя в первую очередь среды виртуализации. Это связано с тем, что использующие их организации не всегда в полной мере понимают, как это работает и как следует защищать виртуальные машины. В результате защита оказывается слабее, чем ей следовало бы быть.
