26 ноября

SLSH атакует SaaS: ShinySp1d3r и угроза цепочек поставок

В октябре 2025 года альянс киберпреступников Scattered LAPSUS$ Hunters (SLSH) возобновил активность после краткого затишья, что стало предвестником серии инцидентов, связанных с поставщиками SaaS и внутренними утечками данных. Подразделение 42 зафиксировало рост активности группы на основе разведки с открытым исходным кодом и сообщений в новом Telegram-канале, посвящённом SLSH. Серия событий в ноябре 2025 года демонстрирует, что злоумышленники расширяют инструментарий и целевые векторы, а организации вынуждены вводить экстренные контрмеры.

Ключевые события (октябрь — ноябрь 2025)

Октябрь 2025: SLSH возобновил активность после периода бездействия.
19 ноября 2025: в обращение попала новая программа под названием ShinySp1d3r — инициатива типа «Рansomware-as-a-Service» (RaaS), ещё в разработке и ориентированная на Windows с планами на выпуск версий для Linux и ESXi.
20 ноября 2025: Salesforce зафиксировала необычную активность, связанную с приложениями, опубликованными Gainsight, и ограничила активный доступ и refresh tokens для этих приложений; приложения были временно отозваны из AppExchange на время расследования.
21 ноября 2025: инсайдер передал SLSH конфиденциальные скриншоты внутренней системы, которые были опубликованы в Telegram-канале группы; CrowdStrike подтвердила увольнение вовлечённого сотрудника и заявила, что их системы оставались защищены.
24 ноября 2025: Gainsight приостановил интеграции с другими платформами SaaS, включая HubSpot и Zendesk, и рекомендовал клиентам сменить ключи S3 как меру предосторожности в ответ на атаку цепочки поставок.
Отдельный инцидент: сообщается, что группа Bling Libra предложила инсайдеру $25 000 за доступ к сети CrowdStrike, что подчёркивает сохраняющуюся угрозу сотрудничества инсайдеров с киберпреступными сообществами.

«Подразделение 42 зафиксировало возросшую активность SLSH на основании открытых источников и сообщений в Telegram», — указывает расследование, посвящённое возобновлению кампании группы.

Технические аспекты и векторы атак

Наблюдаемые инциденты указывают на несколько взаимосвязанных угроз:

RaaS и расширение целевых платформ. ShinySp1d3r изначально нацелен на Windows, но разработчики планируют версии для Linux и ESXi, что расширяет потенциальную поверхность атак для корпоративных сред и гипервизоров.
Атаки цепочки поставок. Необычная активность вокруг приложений Gainsight и последующая блокировка токенов свидетельствуют о попытках злоумышленников использовать сторонние интеграции как точку входа.
Компрометация учётных данных и токенов. Отзыв refresh tokens со стороны Salesforce демонстрирует риск использования скомпрометированных OAuth-учётных данных и API-доступа к SaaS-окружениям.
Инсайдерские угрозы. Передача конфиденциальных скриншотов и предложение денежных вознаграждений за доступ подчёркивают важность контроля привилегий и процедур управления персоналом.

Реакция компаний

Salesforce: ограничила активный доступ и отозвала refresh tokens для приложений, опубликованных Gainsight, и временно убрала эти приложения из AppExchange на время расследования.
Gainsight: приостановил подключения к сторонним платформам (включая HubSpot и Zendesk) и рекомендовал клиентам сменить ключи S3.
CrowdStrike: подтвердила увольнение вовлечённого инсайдера и заявила об отсутствии компрометации собственных систем, однако инцидент подчёркивает риск внутренней угрозы.

Что это значит для бизнеса и какие шаги предпринять

Сочетание атак цепочки поставок, развития RaaS и активности инсайдеров создаёт повышенный уровень риска, особенно в преддверии сезона отпусков. Рекомендуемые меры защиты:

Проверить и ограничить доступ сторонних приложений. Провести аудит интеграций, отозвать ненужные токены, реализовать принцип наименьших привилегий.
Ротация ключей и токенов. Своевременная смена S3-ключей, API-ключей и refresh tokens при подозрениях на компрометацию.
Усиление контроля над инсайдерами. Ввести более строгие политики доступа, мониторинг действий привилегированных пользователей и процессы расследования аномалий.
Мониторинг и защита конечных точек и гипервизоров. Подготовиться к возможным версиям RaaS для Linux и ESXi, обновить EDR/AV и провести аудит конфигураций гипервизоров.
Инцидент-респонис и план реагирования на поставщиков. Разработать сценарии реагирования на компрометацию поставщиков SaaS и тестировать планы восстановления.
Подключение threat intelligence. Следить за публикациями из открытых источников и специализированных каналов (включая Telegram-каналы, где публикует SLSH), чтобы заранее обнаруживать индикаторы компрометации.

Вывод

Серия инцидентов октября—ноября 2025 года демонстрирует эскалацию активности SLSH: злоумышленники комбинируют развитие RaaS-инструментария, атаки цепочки поставок и использование инсайдеров. Это служит напоминанием о необходимости проактивного управления третьими сторонами, жёсткого контроля привилегий и готовности к быстрому реагированию на инциденты, особенно в период повышенного киберриска, связанного с сезоном отпусков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: