Возрождение SLSH: ShinySp1d3r, атаки цепочки поставок и инсайдеры

В октябре—ноябре 2025 года альянс киберпреступников, известный как Scattered LAPSUS$ Hunters (SLSH), возобновил деятельность после короткого затишья — событие, совпавшее с приближением сезона отпусков и отмеченное резким ростом угроз для корпоративной инфраструктуры и SaaS-интеграций. Отчёты подразделения 42, разведка с открытым исходным кодом и материалы из нового Telegram-канала, посвящённого SLSH, подчеркивают широкий спектр действий группы: от атак на цепочки поставок до привлечения инсайдеров и разработки новой вредоносной программы как сервиса.

Хронология ключевых инцидентов

• Октябрь 2025 — SLSH возобновляет активность после периода бездействия; наблюдается рост операций к осенне-зимнему периоду.
• 19 ноября 2025 — в открытом доступе появляется программа ShinySp1d3r, заявленная как новая инициатива «Программа‑вымогатель как услуга»; текущая версия ориентирована на Windows, в планах — версии для Linux и ESXi.
• 20 ноября 2025 — Salesforce фиксирует необычную активность, связанную с приложениями, опубликованными компаниями Gainsight; в ответ Salesforce ограничивает доступ и отзывает токены и приложения из AppExchange на время расследования.
• 21 ноября 2025 — инсайдер передаёт SLSH конфиденциальные скриншоты внутренней системы; публикация материалов в Telegram подтверждает наличие внутренних утечек.
• 24 ноября 2025 — Gainsight приостанавливает подключения к другим SaaS-платформам (включая HubSpot и Zendesk) и рекомендует клиентам сменить ключи S3 в качестве защиты от риска цепочки поставок.
• По состоянию на конец ноября 2025 — CrowdStrike подтверждает увольнение вовлечённого инсайдера и отсутствие компрометации своих систем; одновременно сообщается о предложении $25,000 от злоумышленников (Bling Libra) за доступ к сети CrowdStrike.

Технические и тактические особенности угрозы

Обнаруженные операции SLSH демонстрируют многоуровневую тактику, направленную на расширение возможностей атак и повышение их эффективности:

• Модель распространения: переход от правок в сторонних интеграциях и злоупотребления сторонними приложениями к прямому использованию инсайдеров и разработке RaaS-инструмента (ShinySp1d3r).
• Целевые платформы: текущая версия ориентирована на Windows; запланированы сборки для Linux и ESXi, что указывает на намерение атаковать серверные и виртуализированные среды.
• Цепочка поставок и SaaS-интеграции: компрометация приложений в AppExchange и влияние на подключения между SaaS-платформами (Gainsight → HubSpot/Zendesk) демонстрируют уязвимость экосистемы интегрированных сервисов.
• Токены и ключи: отзыв токенов обновления и рекомендация смены ключей S3 подчёркивают риск перехвата долгоживущих учётных данных и доступа через OAuth/токены.
• Инсайдерская угроза: вовлечение сотрудников и предложение вознаграждения за доступ создают дополнительный уровень риска, требующий процедурных и технических мер по выявлению и нейтрализации подобных каналов.

Реакция пострадавших компаний

• Salesforce — ограничила весь активный доступ и токены обновления, связанные с затронутыми приложениями, и временно отозвала соответствующие приложения из AppExchange для расследования.
• Gainsight — приостановила интеграции с внешними SaaS-платформами, включая HubSpot и Zendesk, и рекомендовала клиентам сменить ключи S3.
• CrowdStrike — подтвердила увольнение вовлечённого сотрудника и отсутствие компрометации своих систем; инцидент иллюстрирует, что даже крупные поставщики безопасности подвержены попыткам набора инсайдеров.

«Ограничить весь активный доступ и токены обновления, связанные с этими приложениями» — именно такой шаг предприняла Salesforce в качестве аварийной меры против потенциального нарушения безопасности.

Практические рекомендации для организаций

В свете описанных инцидентов экспертное сообщество настоятельно рекомендует предпринять следующие шаги:

• Провести немедленный аудит сторонних приложений и интеграций (особенно тех, которые подключены через AppExchange и прочие маркетплейсы).
• Отозвать и пересоздать долгоживущие токены и ключи (включая ключи S3 и OAuth-токены), особенно если была подозрительная активность.
• Внедрить и усилить MFA для административных учётных записей и сервисных интеграций.
• Ограничить права доступа по принципу least privilege для сервисных аккаунтов и интеграций.
• Наладить мониторинг аномалий в поведении (Behavioral detection), логирование доступа к API и сигнализации по подозрительным паттернам.
• Усилить контроль за инсайдерами: регулярные проверки, сегментация доступа, каналы для анонимного сообщения о рисках.
• Подготовить планы реагирования на инциденты цепочки поставок и провести tabletop-упражнения с участием бизнес-подразделений.

Вывод

Серия инцидентов, связанных с Scattered LAPSUS$ Hunters (SLSH), — от развития ShinySp1d3r как RaaS до использования инсайдерских каналов и атак на интеграции SaaS — служит напоминанием о возрастающей сложности угроз в современной экосистеме. Организациям необходимо действовать превентивно: повышать устойчивость интеграций, строго управлять доступом и ключами, а также оперативно реагировать на любые признаки компрометации, особенно в периоды повышенного риска, таких как сезон отпусков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.