Компания Mandiant, принадлежащая Google, предупреждает, что финансово мотивированная группировка Scattered Spider, которую связывают с недавними взломами MGM Resorts и Caesars Entertainment, расширяет список своих целей, а также стратегии монетизации.
Эксперты Mandiant говорят, что группировка, которую разные компании отслеживают как UNC3944, 0ktapus (Group-IB) и Scatter Swine (Okta), уже атаковала как минимум 100 организаций, в основном расположеных в США и Канаде.
Как правило группировка занимается фишинговыми кампаниями через SMS (так называемый «смишинг») и социальной инженерией для взлома корпоративных сетей. Так, злоумышленники выдают себя за специалистов технической поддержки (чтобы выманить у пользователей учетные данные), используют атаки на подмену SIM карты (чтобы захватить контроль над нужным телефонным номером), а также фишинг и другие методы (чтобы обойти многофакторную аутентификацию). Однако сейчас, по словам исследователей, группа расширяет свой инструментарий и, скорее всего, в будущем станет атаковать большее количество отраслей.
Mandiant отмечает, что в середине 2023 года хак-группа перешла на использование программ-вымогателей, что может оказаться весьма выгодным для преступников. Так, в некоторых зафиксированных атаках использовался шифровальщик ALPHV (BlackCat), но Mandiant полагает, что хакеры могут применять и другие вымогательские программы, а также «дополнительные стратегии монетизации для получения максимальной прибыли в будущем».
Также в атаках UNC3944 использует выглядящие легитимно фишинговые страницы, на которых часто используются приманки, связанные со «службой поддержки» или SSO. Вероятно, для придания своему фишингу большей правдоподобности хакеры используют информацию, полученную в сетях жертв.
По данным исследователей, с 2021 года группа полагалась как минимум три фишинговых набора, включая EightBait (который может развернуть AnyDesk на системах жертв) и два набора, которые используют данные веб-страниц целевой организации, причем разница в коде между ними оказывается совсем незначительной.
В дополнение к «смишингу» и социальной инженерии группа также применяет инструменты для сбора учетных данных, тщательно ищет во внутренних системах жертвы любые логины и пароли, использует общедоступные инструменты для сбора учетных данных из внутренних репозиториев GitHub, а также опенсорсный MicroBurst для выявления учетных данных и секретов Azure. Кроме этого UNC3944 собирает учетные данные с помощью инфостилеров, включая Ultraknot (также известную как Meduza stealer), Vidar и Atomic.
«Отличительной чертой атак UNC3944 является их творческий и все более эффективный подход к использованию облачных ресурсов жертв. Такая стратегия позволяет создать плацдарм для последующих операций, провести разведку, а также получить доступ ко многим конфиденциальным системам и хранилищам данных», — говорится в сообщении Mandiant.
Также Mandiant пишет, что UNC3944 эксплуатирует среду Microsoft Entra для доступа к ограниченным ресурсам, создает виртуальные машины для маскировки доступа, использует Azure Data Factory для кражи данных, а доступ к облачным средам жертв для размещения вредоносных инструментов и бокового перемещения.
«Мы ожидаем, что в атаках, связанных с UNC3944, будут и дальше использоваться разнообразные инструменты, методы и тактики монетизации, поскольку участники группировки будут находить новых партнеров и переключаться между различными сообществами. Так, Mandiant заметила, что группировка теперь ориентирована не только на телекоммуникационные и аутсорсинговые компании, и [список их целей] охватывает широкий спектр отраслей, включая гостиничный бизнес, розничную торговлю, средства массовой информации, развлечения, а также финансовые услуги», — заключают эксперты.
