Scattered LAPSUS$ Hunters: вишинг, угрозы Salesforce и CVE-2025-61882

В августе 2025 года через Telegram-канал появилась группировка Scattered LAPSUS$ Hunters, объявившая о себе как о наследнице известных киберпреступных коллективов — Scattered Spider, ShinyHunters и LAPSUS$. Их появление сопровождалось возрождением характерной для LAPSUS$ «хаотичной» методологии: массовое разглашение украденных данных и выдвижение требований о выкупе. Эксперты отмечают, что группа сочетает агрессивную социальную инженерию с эксплуатацией критических уязвимостей, что делает её особенно опасной для компаний, управляющих большими объемами клиентских и корпоративных данных.

Откуда они: претензии и возможные связи

«утверждая, что ведет свое происхождение от известных киберпреступных организаций, включая Scattered Spider, ShinyHunters и LAPSUS$»

Группировка также подозревается в сотрудничестве с актерами из «The Com» — подпольной сети, предназначение которой затрудняет отслеживание реальных личностей и используемых инструментов. Такая связка повышает анонимность и усложняет атрибуцию атак.

Текущие угрозы и целевые направления

В недавних сообщениях Scattered LAPSUS$ Hunters прямо угрожали опубликовать данные, связанные с Salesforce, если требования о выкупе не будут выполнены до 10 октября. Кроме того, группа намекнула на возможные дальнейшие атаки, ориентированные на экосистему Salesloft.

«угрозы опубликовать данные, связанные с Salesforce, если требования о выкупе не будут выполнены до 10 октября»

Методы атак: социальная инженерия и эксплуатация уязвимостей

Расследования деятельности группы демонстрируют сильную зависимость от социальной инженерии, в частности — от vishing (телефонного обмана). Атакующие манипулируют сотрудниками, убеждая их:

• установить поддельные приложения, например Salesforce Data Loader с вредоносным кодом;
• одобрить вредоносные connected apps, предоставляющие злоумышленникам доступ через OAuth;
• передать учетные данные или иные чувствительные данные под видом помощи от службы поддержки.

Это чётко подчёркивает ключевой фактор успеха атак — человеческий фактор, а не только программные уязвимости.

Критическая уязвимость — CVE-2025-61882

Другой ключевой аспект угроз связан с zero-day уязвимостью, идентифицированной как CVE-2025-61882, в Oracle E-Business Suite. Этот критический эксплойт позволяет выполнять удалённый код без проверки подлинности по сети, то есть злоумышленнику не требуются учётные данные для эксплуатации. Такая уязвимость представляет серьёзную опасность для организаций, использующих Oracle E-Business Suite в производственной среде.

Конкретный инцидент: компрометация поставщика поддержки и утечки

20 сентября произошёл связанный инцидент: хакеры взломали стороннего поставщика услуг поддержки, связанного с Discord. В результате атаки были украдены идентификационные данные пользователей, платежная информация и удостоверения личности, выданные правительством, у некоторых пользователей, взаимодействовавших со службами поддержки клиентов через этот канал.

Риски для бизнеса

• Высокая вероятность публикации конфиденциальных данных и финансовых требованиий о выкупе;
• Комбинация социальной инженерии и критических уязвимостей увеличивает широту потенциального ущерба;
• Компрометация третьих сторон (поставщиков поддержки) расширяет вектор атаки на организации через доверенные сервисы;
• Использование OAuth-connected apps и фальшивых инструментов (например, поддельный Salesforce Data Loader) облегчает перманентный доступ к данным даже при отсутствии прямых уязвимостей в основном ПО.

Рекомендации для защиты

Экспертные рекомендации по снижению рисков для компаний и служб поддержки:

• усилить обучение персонала по распознаванию vishing и фишинга; проводить регулярные симуляции;
• ограничить права на установку приложений и одобрение connected apps; внедрить централизованный контроль OAuth-разрешений;
• внедрить многофакторную аутентификацию (MFA) и политику минимальных прав для сервисных учётных записей;
• постоянно мониторить и анализировать логи OAuth-авторизаций и подозрительных сессий;
• ограничить и сегментировать доступ третьих сторон, пересмотреть договоры и модель доступа поставщиков;
• при обнаружении CVE-2025-61882 — немедленно применять официальные патчи и временные меры безопасности, рекомендованные поставщиком; пока патч недоступен — внедрять compensating controls;
• обновить процессы инцидент-реcпонса и связи с клиентами, включая процедуры уведомления о компрометации персональных данных;
• проводить аудит и регулярный ревью конфигураций служб поддержки (включая использование каналов вроде Discord), а также процедур верификации клиентов.

Вывод

Появление Scattered LAPSUS$ Hunters демонстрирует устойчивая тенденцию: современные киберугрозы комбинируют старые приёмы социальной инженерии с новыми техническими возможностями — в частности, zero-day эксплойтами. Организациям требуется не только закрывать уязвимости в ПО, но и системно работать с человеческим фактором и управлением доступа поставщиков. Игнорирование этой двойной угрозы может привести к масштабным утечкам персональных и коммерческих данных, а также к серьёзным финансовым и репутационным потерям.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.