Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Посмотрите на своего сисадмина. Возможно, это хакер из Muddled Libra, который просто «работает»

leer en español

Palo Alto Networks Unit 42 Muddled Libra Scattered Spider VMware vSphere Snowflake кибератака
Посмотрите на своего сисадмина. Возможно, это хакер из Muddled Libra, который просто «работает»
Palo Alto Networks Unit 42 Muddled Libra Scattered Spider VMware vSphere Snowflake кибератака

Рассказываем, почему этот курьёзный провал стал самым ценным источником информации для ИБ-специалистов.

image

Специалисты подразделения Unit 42 компании Palo Alto Networks раскрыли детали атаки группы Muddled Libra, также известной под названиями Scattered Spider и UNC3944. Поводом стало расследование инцидента осенью 2025 года, в ходе которого внутри инфраструктуры пострадавшей организации обнаружили скрытую виртуальную машину злоумышленников. Её содержимое позволило восстановить рабочую схему действий группы и понять, как именно строится проникновение и развитие атаки.

По данным отчёта, нападавшие получили несанкционированный доступ к среде VMware vSphere и вскоре развернули собственную виртуальную машину, использовав её как опорную точку. Через неё велась разведка сети, загрузка утилит и закрепление присутствия через управляющий канал. Для расширения доступа применялись похищенные цифровые сертификаты и поддельные билеты аутентификации.

В течение первых часов атакующие остановили несколько контроллеров домена, подключили их диски и скопировали базы Active Directory вместе с системными ветками реестра. Эти данные были расшифрованы, после чего получены хэши паролей пользователей. Затем была запущена утилита ADRecon для подробного сбора сведений о домене, политиках, сервисах и учётных записях. Отдельное внимание уделялось сервисным идентификаторам, связанным с MSSQL, Exchange, Hyper-V и системами резервного копирования.

Для устойчивого доступа использовался туннель через инструмент Chisel, загруженный из облачного хранилища. Также применялись легитимные административные программы, включая PsExec и ADExplorer. Такой подход позволял действовать без сложного вредоносного кода и сливаться с обычной активностью администраторов.

Отдельным этапом стала работа с данными в среде Snowflake. Злоумышленники изучали содержимое баз и пытались выгрузить файлы во внешние сервисы. Из-за блокировок популярных площадок внутри сети им приходилось подбирать доступные файлообменники через поисковые запросы. Позднее предпринимались попытки выгрузки почтовых архивов Outlook в формате PST и отправки их в собственное хранилище Amazon S3 через специальный клиент.

Журналирование показало, что встроенные защитные механизмы Microsoft Defender обнаруживали и блокировали часть используемых инструментов, однако атакующие продолжали перемещения по сети через RDP и SSH, используя скомпрометированные учётные записи. Активность продолжалась около 15 часов, после чего доступ был пресечён службой защиты компании.

В Palo Alto Networks отмечают, что Muddled Libra делает ставку на социальную инженерию и компрометацию идентификации, а не на сложные эксплойты. Группа часто атакует сервисные центры, аутсорсинговые компании и провайдеров услуг, выдавая себя за сотрудников и добиваясь сброса паролей и MFA. Разбор инцидента показал, что даже одна незаметная виртуальная машина внутри инфраструктуры может стать ключевой площадкой для кражи данных и дальнейшего распространения атаки.