Компания Mandiant, принадлежащая Google, предупреждает, что финансово мотивированная группировка Scattered Spider, которую связывают с недавними взломами MGM Resorts и Caesars Entertainment, расширяет список своих целей, а также стратегии монетизации.

Эксперты Mandiant говорят, что группировка, которую разные компании отслеживают как UNC3944, 0ktapus (Group-IB) и Scatter Swine (Okta), уже атаковала как минимум 100 организаций, в основном расположеных в США и Канаде.

Как правило группировка занимается фишинговыми кампаниями через SMS (так называемый «смишинг») и социальной инженерией для взлома корпоративных сетей. Так, злоумышленники выдают себя за специалистов технической поддержки (чтобы выманить у пользователей учетные данные), используют атаки на подмену SIM карты (чтобы захватить контроль над нужным телефонным номером), а также фишинг и другие методы (чтобы обойти многофакторную аутентификацию). Однако сейчас, по словам исследователей, группа расширяет свой инструментарий и, скорее всего, в будущем станет атаковать большее количество отраслей.

Mandiant отмечает, что в середине 2023 года хак-группа перешла на использование программ-вымогателей, что может оказаться весьма выгодным для преступников. Так, в некоторых зафиксированных атаках использовался шифровальщик ALPHV (BlackCat), но Mandiant полагает, что хакеры могут применять и другие вымогательские программы, а также «дополнительные стратегии монетизации для получения максимальной прибыли в будущем».

Также в атаках UNC3944 использует выглядящие легитимно фишинговые страницы, на которых часто используются приманки, связанные со «службой поддержки» или SSO. Вероятно, для придания своему фишингу большей правдоподобности хакеры используют информацию, полученную в сетях жертв.

По данным исследователей, с 2021 года группа полагалась как минимум три фишинговых набора, включая EightBait (который может развернуть AnyDesk на системах жертв) и два набора, которые используют данные веб-страниц целевой организации, причем разница в коде между ними оказывается совсем незначительной.

В дополнение к «смишингу» и социальной инженерии группа также применяет инструменты для сбора учетных данных, тщательно ищет во внутренних системах жертвы любые логины и пароли, использует общедоступные инструменты для сбора учетных данных из внутренних репозиториев GitHub, а также опенсорсный MicroBurst для выявления учетных данных и секретов Azure. Кроме этого UNC3944 собирает учетные данные с помощью инфостилеров, включая Ultraknot (также известную как Meduza stealer), Vidar и Atomic.

«Отличительной чертой атак UNC3944 является их творческий и все более эффективный подход к использованию облачных ресурсов жертв. Такая стратегия позволяет создать плацдарм для последующих операций, провести разведку, а также получить доступ ко многим конфиденциальным системам и хранилищам данных», — говорится в сообщении Mandiant.

Также Mandiant пишет, что UNC3944 эксплуатирует среду Microsoft Entra для доступа к ограниченным ресурсам, создает виртуальные машины для маскировки доступа, использует Azure Data Factory для кражи данных, а доступ к облачным средам жертв для размещения вредоносных инструментов и бокового перемещения.

«Мы ожидаем, что в атаках, связанных с UNC3944, будут и дальше использоваться разнообразные инструменты, методы и тактики монетизации, поскольку участники группировки будут находить новых партнеров и переключаться между различными сообществами. Так, Mandiant заметила, что группировка теперь ориентирована не только на телекоммуникационные и аутсорсинговые компании, и [список их целей] охватывает широкий спектр отраслей, включая гостиничный бизнес, розничную торговлю, средства массовой информации, развлечения, а также финансовые услуги», — заключают эксперты.

Источник: xakep