СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.12.2025
#ИБ

Scripted Sparrow: автоматизированные BEC-атаки и тактики обхода

Scripted Sparrow — развивающаяся группа, специализирующаяся на компрометации деловой электронной почты (BEC). Созданная в июне 2024 года, она за короткое время показала значительный рост активности и к сентябрю 2025 года достигла пика по числу регистрируемых контрактов — 496. Анализ их деятельности раскрывает сочетание технических и социальных методов, направленных на обход защит и повышение эффективности фишинговых кампаний.

Краткое описание тактик и инструментов

Исследователи отмечают, что Scripted Sparrow использует широкий набор приёмов для проведения атак:

  • Автоматизированная массовая рассылка фишинговых писем с использованием как бесплатных веб-почтовых сервисов, так и собственных клиентских доменов.
  • Взлом учётных записей легитимных организаций, что позволяет проводить более целевые и правдоподобные атаки.
  • Использование вредоносных или трекинговых URL для сбора сведений о жертвах — в частности IP-адресов и user agents.
  • Методы социальной инженерии для выманивания точных геолокационных данных, несмотря на попытки маскировки через VPN.

Инфраструктура и коммуникации

Анализ трафика и строк user agents позволил получить представление о структуре группы и способах её координации:

  • Сетевая структура децентрализована: в операциях участвуют разные мошенники, действующие по общей схеме и использующие схожие отпечатки браузеров и финансовые потоки.
  • Внутренняя коммуникация группы частично осуществляется через Telegram — этот вывод подтверждён анализом user agents и сопутствующих индикаторов.
  • Аналитики применяли направляющие URL, чтобы вынудить злоумышленников раскрывать IP-адреса и user agents, что помогает в дальнейшем ретроспективном отслеживании акторов.

Эволюция приёмов и повышение сдержанности атак

Поведение Scripted Sparrow менялось со временем: первоначальные массовые однотипные сообщения сменились более персонализированными кампаниями. Теперь злоумышленники:

  • используют более детализированные вступительные сообщения и этапы взаимодействия перед переходом к финансовым требованиям;
  • стремятся к уменьшению подозрительности писем за счёт имитации реальных коммуникаций и вовлечения компрометированных корпоративных адресов;
  • прибегают к тактикам, повышающим вероятность успешного обмана целевых сотрудников.

Ограничения аналитики и возможности уклонения

Несмотря на успехи расследования, остаются значительные риски и технические ограничения:

  • Географическая подмена остаётся возможной: распространённость VPN, browser plugins и прочих инструментов усложняет определение реального местоположения злоумышленников.
  • Децентрализованный характер сети затрудняет полное закрытие инфраструктуры — различные участники могут оперативно менять роли и каналы связи.

«Собранные данные указывают на организованного, гибкого злоумышленника, который эксплуатирует как технологические, так и социальные элементы для достижения целей», — отмечают аналитики.

Риски для организаций

Успешные BEC-атаки могут привести к прямым финансовым потерям, компрометации поставщиков и партнёров, а также утечке конфиденциальной информации. Наибольшему риску подвержены организации с недостаточным контролем за почтовой инфраструктурой и недостаточным уровнем обучения сотрудников.

Рекомендации по защите

Для снижения риска атак от Scripted Sparrow и схожих групп специалисты рекомендуют:

  • Внедрить и контролировать правильную настройку SPF, DKIM и DMARC для всех доменов организации.
  • Обязательное использование многофакторной аутентификации (MFA) для почтовых аккаунтов и администраторских учётных записей.
  • Логирование и мониторинг входящих ссылок: запись IP-адресов, user agents и других индикаторов для последующего анализа.
  • Регулярное обучение сотрудников распознаванию социальной инженерии и фишинга; моделирование атак для повышения готовности.
  • Ограничение доступа к корпоративным данным по принципу наименьших привилегий и проверка финансовых запросов по альтернативным каналам связи.

Вывод

Scripted Sparrow представляет собой эволюционирующую BEC-угрозу с выраженной зависимостью от автоматизации, децентрализованной операционной модели и изощрённых методов социальной инженерии. Организациям необходимо усилить технические и процессные барьеры, а также поддерживать активный мониторинг, чтобы своевременно обнаруживать и нейтрализовывать подобные кампании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: