Scattered Spider: тактики, инструменты и угрозы финансовым сервисам

С 2022 года группа хакеров под названием Scattered Spider активно проводит целенаправленные атаки на организации, работающие в телекоммуникационной сфере, SaaS, облачных и финансовых сервисах. Специализируясь на перехвате и компрометации идентификационных данных, группа демонстрирует высокий уровень технической подготовки и использование передовых методов социальной инженерии.

Методы атак и особенности социальной инженерии

Основой успешных атак Scattered Spider является агрессивная социальная инженерия, которая позволяет обходить даже многофакторную аутентификацию (MFA). В арсенале злоумышленников —

• замена SIM-карты,
• олицетворение служб поддержки,
• фишинговые кампании, направленные на компании-поставщики идентификационных сервисов, таких как Okta и Duo,
• использование техник фишинга «противник посередине» (Adversary-in-The-Middle, AiTM) для кражи действительных учетных данных и токенов доступа.

Spectre RAT — ключевой инструмент злоумышленников

Ключевой компонент инфраструктуры Scattered Spider — это пользовательский троян для удаленного доступа Spectre RAT, впервые выявленный в сентябре 2020 года. Благодаря модульной архитектуре Spectre RAT предлагает широкий спектр функциональных возможностей:

• удаленное выполнение команд,
• сбор конфиденциальных данных (учетные данные, скриншоты),
• постоянный скрытый доступ к скомпрометированным системам,
• обфускация кода и использование легитимных исполняемых файлов для маскировки.

Распространение вредоносного ПО осуществляется через фишинговые атаки с использованием документов, содержащих макросы или скрипты, которые обманывают пользователей и запускают загрузку Spectre RAT.

Технические особенности и усовершенствования Spectre RAT

Недавние обновления Spectre RAT включают улучшенные методы обфускации и более гибкие механизмы распространения, что значительно усложняет обнаружение и анализ вредоносного ПО. Общение с инфраструктурой C2 (Command and Control) выполняется через пользовательский HTTP-протокол с использованием таких техник, как XOR-кодирование и Base64, что минимизирует риски обнаружения.

Spectre RAT способен выполнять детальную разведку с выявлением запущенных процессов и установленных программ, не вызывая подозрений у систем защиты, а также динамически настраивать коммуникации с C2-серверами в зависимости от окружения.

От фишинга к программам-вымогателям: эволюция угроз

Кампании Scattered Spider превратились в сложные многоэтапные операции, направленные не только на кражу и компрометацию учетных записей, но и на перемещение по внутренним системам жертв. Это часто ведёт к развёртыванию программ-вымогателей в корпоративных средах.

Злоумышленники активно используют:

• захваченные токены и учетные данные для доступа к облачным сервисам,
• эксплуатацию уязвимостей в облачной инфраструктуре,
• консоли vSphere и скриптовые инструменты для внутренней доставки payload’ов и расширения контроля.

Таким образом, Scattered Spider демонстрирует эволюцию от простых фишинговых кампаний к полноценным кибератакам с использованием сложных тактик проникновения, что требует от организаций повышенного уровня киберзащиты и постоянного мониторинга угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.