Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

Наследили и ушли. Как одна брошенная улика сорвала маску с «неуловимых» взломщиков

leer en español

Palo Alto Networks Unit 42 Muddled Libra Scattered Spider VMware vSphere Snowflake кибератака
Наследили и ушли. Как одна брошенная улика сорвала маску с «неуловимых» взломщиков
Palo Alto Networks Unit 42 Muddled Libra Scattered Spider VMware vSphere Snowflake кибератака

Рассказываем, почему этот курьёзный провал стал самым ценным источником информации для ИБ-специалистов.

image

Специалисты подразделения Unit 42 компании Palo Alto Networks раскрыли детали атаки группы Muddled Libra, также известной под названиями Scattered Spider и UNC3944. Поводом стало расследование инцидента осенью 2025 года, в ходе которого внутри инфраструктуры пострадавшей организации обнаружили скрытую виртуальную машину злоумышленников. Её содержимое позволило восстановить рабочую схему действий группы и понять, как именно строится проникновение и развитие атаки.

По данным отчёта, нападавшие получили несанкционированный доступ к среде VMware vSphere и вскоре развернули собственную виртуальную машину, использовав её как опорную точку. Через неё велась разведка сети, загрузка утилит и закрепление присутствия через управляющий канал. Для расширения доступа применялись похищенные цифровые сертификаты и поддельные билеты аутентификации.

В течение первых часов атакующие остановили несколько контроллеров домена, подключили их диски и скопировали базы Active Directory вместе с системными ветками реестра. Эти данные были расшифрованы, после чего получены хэши учётных записей пользователей. Затем была запущена утилита ADRecon для подробного сбора сведений о домене, политиках, сервисах и учётных записях. Отдельное внимание уделялось сервисным идентификаторам, связанным с MSSQL, Exchange, Hyper-V и системами резервного копирования.

Для устойчивого доступа использовался туннель через инструмент Chisel, загруженный из облачного хранилища. Также применялись легитимные административные программы, включая PsExec и ADExplorer. Такой подход позволял действовать без сложного вредоносного кода и сливаться с обычной активностью администраторов.

Отдельным этапом стала работа с данными в среде Snowflake. Злоумышленники изучали содержимое баз и пытались выгрузить файлы во внешние сервисы. Из-за блокировок популярных площадок внутри сети им приходилось подбирать доступные файлообменники через поисковые запросы. Позднее предпринимались попытки выгрузки почтовых архивов Outlook в формате PST и отправки их в собственное хранилище Amazon S3 через специальный клиент.

Журналирование показало, что встроенные защитные механизмы Microsoft Defender обнаруживали и блокировали часть используемых инструментов, однако атакующие продолжали перемещения по сети через RDP и SSH, используя скомпрометированные учётные записи. Активность продолжалась около 15 часов, после чего доступ был пресечён службой защиты компании.

В Palo Alto Networks отмечают, что Muddled Libra делает ставку на социальную инженерию и компрометацию идентификации, а не на сложные эксплойты. Группа часто атакует сервисные центры, аутсорсинговые компании и провайдеров услуг, выдавая себя за сотрудников и добиваясь сброса паролей и MFA. Разбор инцидента показал, что даже одна незаметная виртуальная машина внутри инфраструктуры может стать ключевой площадкой для кражи данных и дальнейшего распространения атаки.