СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 января
#ИБ

Shiny Hunters: расследование, медовые ловушки и международные вызовы

В новом докладе анализируется деятельность хакерской группы Shiny Hunters и её новых итераций — scattered lapsus$ hunters и scattered lapsus$ Shiny Hunters. Авторы подчёркивают, что эти формирования действуют внутри широкого преступного community и используют как классические, так и адаптированные TTP (tactics, techniques and procedures). Отдельное внимание уделено расследованиям в отношении ключевых фигурантов и методам контрразведки, которые могут помочь обнаруживать и изучать таких акторов.

Кто такие «Shiny Hunters» и их «scattered» ветви

Shiny Hunters — известная группа, специализировавшаяся на сливах данных и продаже похищенной информации. Новые нэйминг-итерации — scattered lapsus$ hunters и scattered lapsus$ Shiny Hunters — представляют собой либо ответвления, либо ребрендинг внутри того же community, что затрудняет однозначную атрибуцию и отслеживание их активности.

Ключевые фигуры и юридические последствия

В докладе выделены несколько фигур, связанных с операциями группы. Среди упомянутых — Connor Riley, John Binns, Moucka и Erin. Некоторые из них фигурировали в расследованиях и против них были выдвинуты обвинения со стороны DOJ. Также отмечено участие Cameron John Wagenius, военнослужащего армии США, что иллюстрирует проблему вовлечения молодёжи и военных в киберпреступную деятельность.

Методы и инструментарий злоумышленников

Аналитики доклада фиксируют использование следующих приёмов и инструментов:

  • крайняя фрагментация инфраструктуры и лейблов групп (различные имена и подпольные каналы);
  • применение утилит для кражи учётных данных и секретов — stealers, которые затем используются в массовых атаках и сливах;
  • координация через закрытые каналы, в том числе Telegram, и попытки коммерциализации утёков данных;
  • оперативные меры по защите репутации и OPSEC: удаление каналов, давление на медиа и иные меры по минимизации публичного ущерба.

Контрразведка и оборонные практики: роль honeypots

Доклад подчёркивает практическую ценность методов контрразведки, в частности использования honeypots. Создание обманных учётных записей и сервисов позволяет:

  • привлечь потенциальных злоумышленников и зарегистрировать их действия;
  • собрать данные о мотивах, рабочих процессах и инструментах (включая использование stealers);
  • получить свидетельства, которые могут помочь правоохранителям и аналитикам в подготовке репортажей об угрозах и в последующих расследованиях.

Юрисдикция, расследования и практические сложности

Одной из ключевых проблем остаётся юрисдикция. Многие участники преступного community остаются неустановленными или действуют из иностранных юрисдикций, что значительно осложняет вмешательство со стороны официальных органов США и международное сотрудничество. Это создаёт «серую зону», где злоумышленники получают относительную безнаказанность и могут быстро перемещать инфраструктуру.

Реакция сообщества и медиаполитика

Публикация разведывательной информации о группе вызвала заметную реакцию внутри подполья: удаление Telegram-канала, связанного с Shiny Hunters, и попытки оказывать давление на СМИ, чтобы те отказались от использования термина. Такие действия демонстрируют растущую тревогу злоумышленников по поводу ущерба репутации и угроз операционной безопасности по мере усиления контроля со стороны киберорганизаций и правоохранительных органов.

«Публичный резонанс и правоохранительное давление вынуждают оперативные группы менять имена и инфраструктуру, но не устраняют саму угрозу» — резюмируют авторы доклада.

Выводы и рекомендации

Ключевые выводы доклада и практические рекомендации для организаций и правоохранителей:

  • активно использовать honeypots и другие средства контрразведки для получения доказательной базы и оперативной информации;
  • обмениваться разведданными между частными CERT, профильными организациями и правоохранительными органами для преодоления юрисдикционных барьеров;
  • мониторить эволюцию наименований и ветвлений групп, поскольку ребрендинг — стандартная тактика для ухода от слежки;
  • учитывать фактор вовлечения военнослужащих и молодёжи при разработке профилактических программ и внутренней безопасности.

Доклад подчёркивает: несмотря на тактические изменения и попытки «замести следы», такие группы остаются уязвимыми для хорошо скоординированных мер контрразведки и международного сотрудничества. Вопрос в том, насколько быстро и эффективно профильные структуры сумеют адаптироваться к динамичной природе угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: