SLSH: подмена доменов и обход MFA угрожают SaaS-платформам
Недавние расследования ReliaQuest выявили волну подозрительных доменов, выдающих себя за сервисы поддержки, в частности Zendesk. Исследователи обнаружили более 40 вариантов с typosquatted доменов, включая такие подделки, как znedesk.com и vpn-zendesk.com. Шаблон регистрации этих доменов связывают с группой программ‑вымогателей Scattered LAPSUS$Hunters (SLSH), ранее нацеленной на широкий спектр отраслей.
Кого и как атакуют
По данным расследования, SLSH нацеливается на популярные SaaS‑платформы и другие критические секторы. Среди пострадавших направлений отмечены:
- SaaS‑платформы, включая Salesforce;
- розничная торговля;
- страхование;
- авиационная промышленность.
Атаки SLSH используют комбинацию социальной инженерии и фишинговых кампаний, в которых typosquatted домены служат для подмены официальных URL и обмана сотрудников. Для повышения эффективности злоумышленники применяют инструменты типа Evilginx, позволяющие обходить многофакторную аутентификацию (MFA) и перехватывать учётные данные и сессии.
Типичные приёмы злоумышленников
- Регистрация доменов, визуально похожих на официальные (шаблоны вроде company-okta.com и ticket-companyname.com);
- Фишинговые рассылки и страницы входа, созданные на typosquatted доменах;
- Использование прокси‑инструментов (например, Evilginx) для обхода MFA и захвата сессий;
- Атаки типа MFA fatigue — утомление пользователей множественными push‑запросами для обхода вторичного фактора;
- Сбор учётных записей и последующая попытка эскалации привилегий через службу поддержки.
Рекомендации для организаций
Установление строгих мер проверки личности имеет важное значение, особенно для запросов на привилегированный доступ.
Организациям рекомендуется принять следующие меры для снижения рисков:
- Провести обучение сотрудников службы технической поддержки по передовым процессам верификации запросов на доступ, сброса пароля и внесения существенных изменений в системы;
- Ввести строгие процедуры проверки личности для всех запросов на привилегированный доступ;
- Регулярно проводить имитационные phishing‑кампании и тесты на осведомлённость для сотрудников и техподдержки;
- Повысить осведомлённость о MFA fatigue и методах сбора учётных записей; рассматривать сотрудников службы поддержки как «защитников на передовой» и поддерживать их соответствующими инструментами проверки;
- Усилить безопасность SaaS‑цепочки поставок (SaaS supply chain) и внедрить мониторинг сторонних интеграций;
- Вести активный мониторинг и блокировку typosquatted доменов и шаблонов регистрации, чтобы обнаруживать и нейтрализовать угрозы на раннем этапе (например, домены вида company-okta.com, ticket-companyname.com).
Почему это важно
Постоянная бдительность необходима, поскольку злоумышленники систематически создают поддельные домены по узнаваемым шаблонам и используют сложные методы социальной инженерии и технические инструменты для обхода защит. В условиях распространённости SaaS‑сервисов и удалённой поддержки уязвимость служб техподдержки и нестрогие процедуры верификации представляют собой ключевой вектор атаки, через который злоумышленники могут получить доступ к конфиденциальным данным и критическим системам.
Вывод: организациям следует немедленно пересмотреть практики верификации в техподдержке, внедрить регулярные тесты на фишинг и мониторинг доменов, а также усилить защиту SaaS‑цепочки поставок — это позволит снизить риск успешных атак со стороны групп вроде SLSH.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
