CL-CRI-1116: фишинг, обход MFA и кража данных из SaaS
Unit 42 зафиксировал заметный рост инцидентов, связанных с кражей данных и вымогательством, которые исследователи связывают с кластером активности CL-CRI-1116. По оценке аналитиков, он может быть связан с группировкой The Com, впервые публично заявившей о себе в начале 2026 года. В отличие от многих ransomware-операторов, эта группа делает акцент не на развертывании собственного ВПО, а на злоупотреблении легитимными приложениями, внутренними ресурсами и облачными сервисами.
Фишинг, vishing и подмена доверия
Согласно отчету, оперативные тактики CL-CRI-1116 строятся вокруг комбинации фишинга и социальной инженерии. Особенно активно злоумышленники применяют голосовой фишинг — vishing — используя поддельные номера VoIP и мошеннический Caller ID, чтобы убедить жертв в легитимности звонка.
Типичный жизненный цикл атаки начинается с создания обманных фишинговых сайтов, имитирующих корпоративные среды Single Sign-On (SSO). Такие страницы используются для перехвата учетных данных сотрудников, включая одноразовые пароли на основе времени TOTP.
Обход MFA и закрепление в инфраструктуре
После компрометации учетных данных злоумышленники переходят к следующему этапу — обходу механизмов Multi-Factor Authentication (MFA). Для этого они, в частности, регистрируют устройства под собственным контролем в платформах управления идентификацией, что позволяет им закрепляться в инфраструктуре и сохранять доступ даже при наличии защитных механизмов.
Unit 42 отмечает, что такая модель атаки особенно опасна в средах, где широко используются облачные сервисы и централизованные системы аутентификации. В подобных условиях злоумышленники могут выглядеть как обычные авторизованные пользователи и долго оставаться незамеченными.
Нацеленность на SaaS и внутренние репозитории
Группировка, как указывается в отчете, действует против сред SaaS и внутренних репозиториев, используя разрешения Microsoft Graph API, в частности Sites.Read.All. Это дает возможность извлекать данные из SharePoint и применять внутренние функции поиска в таких приложениях, как Salesforce.
Приоритетной целью становятся конфиденциальные данные. Атакующие целенаправленно ищут высокоценную информацию, включая:
- номера социального страхования;
- коммерческую тайну;
- документы с чувствительной внутренней информацией.
Эксфильтрация через API и browser theft
Для вывода данных злоумышленники используют как прямые экспортные операции через API, так и browser theft, что позволяет им перехватывать и передавать крупные массивы информации. При этом активность часто маскируется под легитимные операции, проходящие через SSO, а украденные данные отправляются на инфраструктуру, которой управляют сами атакующие.
В ряде случаев для хранения и управления украденной информацией применяются сервисы обмена файлами, включая LimeWire и MEGA. Такой подход затрудняет отслеживание цепочки эксфильтрации и усложняет реагирование со стороны защитников.
Требования выкупа и давление на жертв
Коммуникация группы выстроена так, чтобы усиливать психологическое давление на пострадавшие организации. Требования выкупа отправляются как с случайно сгенерированных учетных записей Gmail, так и через скомпрометированные почтовые ящики самих целевых компаний.
Размер запросов, по данным отчета, обычно находится в диапазоне семизначных сумм. Чтобы добиться выполнения требований, злоумышленники прибегали и к экстремальным методам социальной инженерии, включая SWATting. Особенно часто такая тактика применяется против высокопоставленных руководителей.
Вывод
Отчет Unit 42 показывает, что CL-CRI-1116 — это не просто еще одна ransomware-группа, а высокоадаптивный кластер, который делает ставку на человеческий фактор, компрометацию облачных идентичностей и злоупотребление легитимными сервисами. В таких атаках главная угроза заключается не только в краже данных, но и в способности злоумышленников долго сохранять доступ, оставаясь в тени обычной пользовательской активности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
