СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.07.2025
#ИБ#Инфра#Облака

Анализ угроз SCATTERED SPIDER: атаки на авиацию и облака

Анализ угроз SCATTERED SPIDER: атаки на авиацию и облака

Группа SCATTERED SPIDER расширяет сферу атак на авиационный сектор

Киберпреступная группа SCATTERED SPIDER, долгие годы сосредоточенная на атаках в страховой и розничной сферах, недавно расширила свою деятельность, включив в неё авиационный сектор. Согласно данным CrowdStrike Services, во втором квартале 2025 года группа проявила особенно высокую активность в отношении организаций, базирующихся в США и Великобритании.

Новые тактики и масштаб атак

Ключевым событием стала волна инцидентов, произошедших в конце июня 2025 года с участием американских авиакомпаний. Именно тогда эксперты зафиксировали эволюцию тактик, методов и процедур (TTP), используемых SCATTERED SPIDER, которые при этом сохранили общую логику и операционные схемы, характерные для группы.

Основной метод компрометации знаменит своей социальной инженерией — voice phishing по отношению к сотрудникам службы технической поддержки. Целью таких звонков является получение учетных данных для доступа к системам Microsoft Entra ID, единому входу (SSO) и инфраструктуре виртуальных рабочих столов (VDI).

По информации CrowdStrike, операторы SCATTERED SPIDER обладают навыками профессионального обмана:

  • выдавая себя за законных сотрудников, они предоставляют точные ответы на вопросы службы технической поддержки;
  • используют эти данные для обхода многофакторной аутентификации и восстановления паролей;
  • после получения доступа переходят к платформам SaaS, собирая конфиденциальную информацию;
  • полученную информацию используют для дальнейших перемещений, вымогательства или других форм монетизации.

Методы разведки и проникновения в инфраструктуру

Расследование выявило широкий спектр инструментов и техник, применяемых группой в атаке:

  • разведка среды Active Directory с помощью специализированных скриптов, включая ADExplorer и PowerShell;
  • использование VMware vCenter для создания неуправляемых виртуальных машин;
  • подключение дисков виртуальных машин контроллеров домена с целью извлечения конфиденциальных файлов базы данных AD;
  • установка легитимных туннелей и прокси-серверов для обеспечения постоянного доступа и сокрытия активности;
  • манипуляция правилами электронной почты для удаления или перенаправления уведомлений о подозрительных действиях.

Главная цель злоумышленников — развертывание программ-вымогателей на инфраструктурах VMware ESXi. При неудаче развертывания шифровальщика группе грозит публикация похищенных данных и вымогательство двойного масштаба.

Социальная инженерия и инструменты для удержания доступа

SCATTERED SPIDER особо эффективна за счет:

  • использования социальной инженерии для захвата учетных записей сотрудников ИТ поддержки,
  • замены SIM-карт для обхода средств аутентификации,
  • применения инструментов удаленного доступа, таких как TeamViewer, для обеспечения долговременного контроля.

Группа активно эксплуатирует инфраструктуру крупнейших облачных провайдеров — Azure, AWS и Google Cloud Identity — для перемещения по сети и извлечения данных перед развертыванием программ-вымогателей с целью двойного вымогательства.

Рекомендации по защите и мониторингу

Специалисты по кибербезопасности советуют организациям, особенно в авиационном секторе, усилить защиту следующих направлений:

  • активное и всестороннее мониторинг инфраструктуры VMware, включая анализ журналов доступа для выявления несанкционированной активности;
  • отслеживание изменений в виртуальной инфраструктуре с применением средств автоматизации;
  • развертывание сборщиков телеметрии для улучшения видимости в виртуальных средах;
  • мониторинг активности в различных облачных приложениях для своевременного обнаружения подозрительных действий;
  • формирование и поддержание эффективных планов реагирования на инциденты, включая готовность к атаке программ-вымогателей.

В условиях роста сложности и изощренности кибератак особенно важна организация многоуровневой защиты и повышение осведомленности сотрудников, являющихся первыми «лицами» в борьбе с социальной инженерией.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: