Анализ тактик и угроз хакеров Scattered Spider в 2024 году

В совместном документе, опубликованном несколькими федеральными и международными агентствами, представлена всесторонняя характеристика деятельности хакерской группы Scattered Spider, также известной под обозначениями UNC3944, Scatter Swine и другими. Основной целью группы являются крупные корпорации с акцентом на их ИТ-службы поддержки. Действия злоумышленников направлены на кражу данных с последующим вымогательством, что вызывает серьезные опасения в сфере кибербезопасности.

Тактики, методы и процедуры (TTP): что известно о Scattered Spider

Отчет детализирует обновленные TTP, раскрывающие использование группой передовых методов социальной инженерии вместе с различными вредоносными программами. Особенно выделяется недавно выявленная программа-вымогатель DragonForce. Основные направления деятельности группы включают:

• Кражу и шифрование конфиденциальных данных с целью получения выкупа;
• Развитие тактик, направленных на предотвращение обнаружения;
• Применение сложных приемов социальной инженерии, включая «push-бомбардировку».

Особый интерес вызывает техника «push-бомбардировка», при которой сотрудники жертв подвергаются массированным повторяющимся запросам на многофакторную аутентификацию (MFA) и замене SIM-карты. Это позволяет хакерам получить несанкционированный доступ к учетным записям.

От фишинга до сложных многоэтапных атак

Изначальные угрозы исходят из фишинговых атак, таргетированных на сотрудников в соответствии с их ролями в организации. Индивидуальная тактика фишинга помогает злоумышленникам получить первоначальный доступ. Далее Scattered Spider укрепляет свое присутствие в сети, используя следующие методы:

• Регистрация собственных MFA-токенов для обеспечения постоянного доступа;
• Использование инструментов удаленного мониторинга и управления;
• Манипуляции с системами единого входа (SSO) для захвата учетных записей и повышения привилегий.

После подключения к инфраструктуре жертвы группа проводит обширное разведывательное выявление, нацеленное на выявление сайтов SharePoint, хранилищ учетных данных и других конфиденциальных ресурсов.

Эксплуатация облачных сервисов и сокрытие своей активности

Scattered Spider активно пользуется облачными сервисами, в частности AWS, для организации перемещений по сети и быстрого доступа к ценным данным. Помимо этого, злоумышленники применяют инструменты ETL для эксфильтрации и структурирования украденной информации.

Для минимизации риска обнаружения группа:

• Создает учетные записи в скомпрометированных сетевых средах;
• Участвует в совещаниях по реагированию на инциденты (что помогает контролировать расследование);
• Регулярно меняет имена компьютеров и использует прокси-сети для маскировки своей активности.

Рекомендации и меры предосторожности

В документе особо подчеркивается важность выполнения рекомендаций по обеспечению безопасности для снижения рисков, связанных с деятельностью таких продвинутых злоумышленников как Scattered Spider. Среди ключевых советов – усиление многофакторной аутентификации, регулярный мониторинг подозрительной активности и повышение осведомленности сотрудников о методах социальной инженерии.

Организациям рекомендуется незамедлительно сообщать компетентным органам о любых инцидентах, связанных программами-вымогателями или подозрительной активностью, чтобы ускорить реагирование и минимизировать ущерб.

В условиях постоянного роста угроз со стороны киберпреступников изучение подобных отчётов и внедрение рекомендованных мер защиты становится критически важным звеном в обеспечении информационной безопасности крупных корпораций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.