Думали, MFA защищает. Scattered Spider звонком добавила свои устройства

Федеральное бюро расследований США официально предупредило о расширении масштабов атак кибергруппировки Scattered Spider, которая теперь активно нацеливается на авиационную отрасль. По данным ведомства, злоумышленники используют социальную инженерию, чтобы проникать в инфраструктуру авиакомпаний и их подрядчиков.

Представители ФБР пояснили, что злоумышленники мастерски выдают себя за сотрудников или подрядчиков, обманывая специалистов технической поддержки и убеждая их предоставить доступ к учётным записям. Чаще всего это приводит к тому, что в систему добавляются несанкционированные устройства для многофакторной аутентификации (MFA), что позволяет преступникам обойти стандартные механизмы защиты.

Особую опасность представляют атаки Scattered Spider через подрядчиков и внешние IT-компании. Используя доверительные отношения с такими организациями, кибергруппировка получает доступ к системам крупных компаний, после чего начинается кража данных, вымогательство или внедрение программ-вымогателей.

Специалисты Palo Alto Networks из подразделения Unit 42 подтвердили активность Scattered Spider против авиационного сектора и призвали компании быть особенно осторожными. Они рекомендуют проявлять бдительность к любым подозрительным запросам на сброс MFA и усилить проверки при восстановлении доступа к учётным записям.

Компания Mandiant недавно также отметила всплеск активности группы в сфере авиации и транспорта. По их наблюдениям, злоумышленники действуют по знакомому сценарию, комбинируя методы социальной инженерии и технические атаки.

Эксперты подчёркивают, что Scattered Spider делает ставку не столько на технологии, сколько на человеческий фактор. Группа прекрасно понимает, как устроены рабочие процессы в крупных компаниях, и умело эксплуатирует слабости сотрудников техподдержки, особенно в ситуациях давления и дефицита времени.

Группировка действует под различными именами, включая Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud и UNC3944. Первоначально она прославилась атаками с подменой SIM-карт, но со временем её арсенал пополнился фишингом , обманом служб поддержки и внедрением инсайдеров.

По данным компании Halcyon, Scattered Spider представляет собой серьёзную эволюцию угрозы программ-вымогателей. Они сочетают социальную инженерию, техническую изощрённость и быструю реализацию двойного шантажа — от проникновения до шифрования и кражи данных проходит всего несколько часов.

Уникальность группы заключается в сочетании тщательного планирования и резкой эскалации атак. Преступники тратят время на сбор информации о жертвах, используя соцсети и утечки данных, чтобы с пугающей точностью копировать поведение настоящих сотрудников.

Эта тактика позволяет им успешно внедряться в гибридные инфраструктуры, оставаясь незамеченными до самого критического момента. При этом Scattered Spider тесно связана с более широкой хакерской экосистемой под названием Com, включающей, среди прочих, известную группу LAPSUS$.

Истоки сообщества уходят к платформам Discord и Telegram, где участники объединились, несмотря на разные интересы и бэкграунд. Именно размытая структура и отсутствие строгой иерархии делают группу крайне трудноуязвимой для правоохранителей.

Один из последних инцидентов, подробно описанный аналитиками ReliaQuest, демонстрирует опасный уровень подготовки и изощрённости злоумышленников. В конце прошлого месяца они успешно проникли в инфраструктуру неназванной компании, выбрав своей целью финансового директора.

Преступники заранее собрали детальную информацию о топ-менеджере, включая дату рождения и последние цифры номера социального страхования, чтобы пройти многоступенчатую аутентификацию и убедительно выдать себя за него при обращении в службу поддержки.

С помощью этих данных они обманули IT-отдел, сбросили MFA и получили доступ к корпоративным системам. Далее группа провела масштабное исследование инфраструктуры, включая облачные сервисы Entra ID и SharePoint, чтобы выявить уязвимые участки.

Злоумышленники проникли в виртуальные рабочие столы компании, взломали VPN-систему и реанимировали отключённые виртуальные машины, чтобы получить доступ к критически важным серверам VMware vCenter и данным домен-контроллеров.

На этом этапе они извлекли конфиденциальные данные, включая содержимое базы NTDS.dit, и вскрыли хранилище паролей CyberArk, получив более 1 400 секретов. Используя легитимные инструменты вроде ngrok, преступники обеспечили себе постоянный доступ к системе.

Когда атака была обнаружена, Scattered Spider перешли к тактике «выжженной земли» , удаляя критические политики безопасности Azure и нарушая работу инфраструктуры. По словам ReliaQuest, борьба за контроль над учётными записями в Entra ID превратилась в настоящую схватку между группой реагирования и преступниками, закончившуюся только после вмешательства специалистов Microsoft.

Этот инцидент стал наглядным подтверждением того, насколько серьёзно эволюционировали методы социальной инженерии. Современные атаки уже не ограничиваются фишингом — это целенаправленные кампании, в которых злоумышленники следуют чётким пошаговым сценариям, чтобы обходить все уровни защиты.

По мнению специалистов, усиление внутренних процессов и проверок в службах поддержки стало первоочередной задачей для всех компаний. Чем больше решений по идентификации завязано на человеческий фактор, тем выше риск стать жертвой таких атак.