30/06/25
По данным ведомства, злоумышленники используют социальную инженерию, чтобы проникать в инфраструктуру авиакомпаний и их подрядчиков.
Представители ФБР пояснили, что злоумышленники мастерски выдают себя за сотрудников или подрядчиков, обманывая специалистов технической поддержки и убеждая их предоставить доступ к учётным записям. Чаще всего это приводит к тому, что в систему добавляются несанкционированные устройства для многофакторной аутентификации (MFA), что позволяет преступникам обойти стандартные механизмы защиты, пишет Securitylab.
Особую опасность представляют атаки Scattered Spider через подрядчиков и внешние IT-компании. Используя доверительные отношения с такими организациями, кибергруппировка получает доступ к системам крупных компаний, после чего начинается кража данных, вымогательство или внедрение программ-вымогателей.
Специалисты Palo Alto Networks из подразделения Unit 42 подтвердили активность Scattered Spider против авиационного сектора и призвали компании быть особенно осторожными. Они рекомендуют проявлять бдительность к любым подозрительным запросам на сброс MFA и усилить проверки при восстановлении доступа к учётным записям.
Компания Mandiant недавно также отметила всплеск активности группы в сфере авиации и транспорта. По их наблюдениям, злоумышленники действуют по знакомому сценарию, комбинируя методы социальной инженерии и технические атаки.
Эксперты подчёркивают, что Scattered Spider делает ставку не столько на технологии, сколько на человеческий фактор. Группа прекрасно понимает, как устроены рабочие процессы в крупных компаниях, и умело эксплуатирует слабости сотрудников техподдержки, особенно в ситуациях давления и дефицита времени.
Группировка действует под различными именами, включая Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud и UNC3944. Первоначально она прославилась атаками с подменой SIM-карт, но со временем её арсенал пополнился фишингом, обманом служб поддержки и внедрением инсайдеров.
По данным компании Halcyon, Scattered Spider представляет собой серьёзную эволюцию угрозы программ-вымогателей. Они сочетают социальную инженерию, техническую изощрённость и быструю реализацию двойного шантажа — от проникновения до шифрования и кражи данных проходит всего несколько часов.
Уникальность группы заключается в сочетании тщательного планирования и резкой эскалации атак. Преступники тратят время на сбор информации о жертвах, используя соцсети и утечки данных, чтобы с пугающей точностью копировать поведение настоящих сотрудников.
Эта тактика позволяет им успешно внедряться в гибридные инфраструктуры, оставаясь незамеченными до самого критического момента. При этом Scattered Spider тесно связана с более широкой хакерской экосистемой под названием Com, включающей, среди прочих, известную группу LAPSUS$.
Истоки сообщества уходят к платформам Discord и Telegram, где участники объединились, несмотря на разные интересы и бэкграунд. Именно размытая структура и отсутствие строгой иерархии делают группу крайне трудноуязвимой для правоохранителей.
Один из последних инцидентов, подробно описанный аналитиками ReliaQuest, демонстрирует опасный уровень подготовки и изощрённости злоумышленников. В конце прошлого месяца они успешно проникли в инфраструктуру неназванной компании, выбрав своей целью финансового директора.
Преступники заранее собрали детальную информацию о топ-менеджере, включая дату рождения и последние цифры номера социального страхования, чтобы пройти многоступенчатую аутентификацию и убедительно выдать себя за него при обращении в службу поддержки.
С помощью этих данных они обманули IT-отдел, сбросили MFA и получили доступ к корпоративным системам. Далее группа провела масштабное исследование инфраструктуры, включая облачные сервисы Entra ID и SharePoint, чтобы выявить уязвимые участки.
Злоумышленники проникли в виртуальные рабочие столы компании, взломали VPN-систему и реанимировали отключённые виртуальные машины, чтобы получить доступ к критически важным серверам VMware vCenter и данным домен-контроллеров.
На этом этапе они извлекли конфиденциальные данные, включая содержимое базы NTDS.dit, и вскрыли хранилище паролей CyberArk, получив более 1 400 секретов. Используя легитимные инструменты вроде ngrok, преступники обеспечили себе постоянный доступ к системе.
Когда атака была обнаружена, Scattered Spider перешли к тактике «выжженной земли», удаляя критические политики безопасности Azure и нарушая работу инфраструктуры. По словам ReliaQuest, борьба за контроль над учётными записями в Entra ID превратилась в настоящую схватку между группой реагирования и преступниками, закончившуюся только после вмешательства специалистов Microsoft.
