Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

Украсть всё из OneDrive и не подать виду. Мастер-класс по социальной инженерии от ShinyHunters

leer en español

Mandiant Google ShinyHunters UNC6661 Okta SaaS вишинг
Украсть всё из OneDrive и не подать виду. Мастер-класс по социальной инженерии от ShinyHunters
Mandiant Google ShinyHunters UNC6661 Okta SaaS вишинг

Уведомления о вторжении стираются раньше, чем их успевают прочитать.

image

Компания Mandiant сообщила о расширении серии атак, связанных с вымогательскими операциями под брендом ShinyHunters. Новая волна инцидентов показывает, что злоумышленники всё активнее используют телефонный фишинг и поддельные страницы входа, чтобы получать доступ к корпоративным облачным сервисам и похищать данные для последующего давления на организации.

По данным отчёта, атакующие выдают себя за сотрудников ИТ-подразделений и звонят работникам компаний под предлогом изменения настроек многофакторной аутентификации. Во время разговора жертв направляют на сайты, внешне копирующие внутренние порталы входа. Там собираются учётные данные единого входа и одноразовые коды подтверждения. После этого злоумышленники регистрируют собственные устройства в системе подтверждения входа и закрепляются в инфраструктуре. Схема схожа с зафиксированными ранее фишинговыми атаками на облачные среды Microsoft 365.

Активность отслеживается сразу по нескольким кластерам под обозначениями UNC6661, UNC6671 и UNC6240. Аналитики группы Google по анализу угроз отмечают, что методы совпадают с прежними операциями ShinyHunters, однако перечень целевых облачных платформ заметно вырос. Преступники стремятся получить как можно больше внутренней переписки и служебных документов для последующего вымогательства. В ряде случаев фиксировались попытки давления на сотрудников пострадавших организаций.

Отдельно подчёркивается, что речь не идёт об уязвимостях в продуктах поставщиков. Основной фактор успеха атак — социальная инженерия. В качестве более устойчивой меры защиты названы методы аутентификации, не подверженные фишингу, включая аппаратные ключи и passkey: в отличие от стандартной многофакторной аутентификации, они не позволяют подтвердить вход по коду из сообщения или push-запросу.

После компрометации учётных записей злоумышленники перемещаются по облачным сервисам и выгружают файлы из SharePoint, OneDrive, Salesforce и DocuSign. Замечены целевые поисковые запросы по ключевым словам, связанным с конфиденциальными материалами, внутренними проектами и VPN. В отдельных инцидентах использовались дополнения для почтовых сервисов, с помощью которых удалялись уведомления о смене настроек безопасности, чтобы скрыть следы вторжения.

Также зафиксированы случаи, когда через захваченные почтовые ящики рассылались новые фишинговые письма компаниям из криптовалютного сектора. После отправки такие сообщения удалялись. Кампании вымогательства сопровождались письмами с требованиями выкупа, публикацией образцов похищенных данных и угрозами атак типа «отказ в обслуживании» на сайты жертв.

Специалисты отмечают, что вредоносные домены чаще всего маскируются под корпоративные порталы входа и поддержки, используя комбинации названия компании со словами sso, internal, support и access. Значительная часть сетевой инфраструктуры атак связана с коммерческими VPN и прокси-сервисами, поэтому блокировка требует тщательной настройки и дополнительного анализа.