Финансово мотивированный субъект угрозы, известный как UNC3944, переходит к развертыванию программ-вымогателей в рамках расширения своих стратегий монетизации, сообщил Mandiant.
"UNC3944 продемонстрировал более пристальное внимание к краже больших объемов конфиденциальных данных в целях вымогательства, и они, похоже, понимают западную деловую практику, возможно, из-за географического состава группы", - сказали в компании threat intelligence.
"UNC3944 также постоянно полагался на общедоступные инструменты и законное программное обеспечение в сочетании с вредоносным ПО, доступным для покупки на подпольных форумах".
Группа, также известная под названиями 0ktapus, Scatter Swine и Scattered Spider, активна с начала 2022 года, применяя социальную инженерию на основе телефона и фишинг на основе SMS для получения действительных учетных данных сотрудников с использованием поддельных страниц входа и проникновения в организации жертв, повторяя тактику, принятую другой группой под названием LAPSUS $.
Хотя первоначально группа была сосредоточена на компаниях, занимающихся телекоммуникациями и аутсорсингом бизнес-процессов (BPO), с тех пор она расширила свою деятельность, включив в нее гостиничный бизнес, розничную торговлю, средства массовой информации и развлечения, а также финансовые услуги, что свидетельствует о растущей угрозе.
Ключевой отличительной чертой участников угрозы является то, что они, как известно, используют учетные данные жертвы для выдвижения себя за сотрудника при звонках в службу поддержки организации в попытке получить коды многофакторной аутентификации (MFA) и / или сброса пароля.
Стоит отметить, что ранее в этом месяце Okta предупредила клиентов об аналогичных атаках, когда банда электронных преступников звонила в ИТ-службы поддержки жертв, чтобы обманом заставить персонал службы поддержки сбросить коды MFA для сотрудников с высокими привилегиями, что позволило им получить доступ к этим ценным учетным записям.
В одном случае, как утверждается, сотрудник установил вредоносное ПО RECORDSTEALER с помощью поддельной загрузки программного обеспечения, что впоследствии способствовало краже учетных данных. Страницы входа изгоев, разработанные с использованием фишинговых наборов, таких как EIGHTBAIT и другие, способны отправлять захваченные учетные данные на контролируемый участником Telegram-канал и развертывать AnyDesk.
Также было замечено, что злоумышленник использует различные похитители информации (например, Atomic, ULTRAKNOT или Meduza и Vidar) и инструменты для кражи учетных данных (например, MicroBurst) для получения привилегированного доступа, необходимого для достижения своих целей и расширения своих операций.
Часть деятельности UNC3944 включает в себя использование коммерческих прокси-сервисов для доступа к своим жертвам, чтобы избежать обнаружения и законного программного обеспечения удаленного доступа, а также проведение обширной разведки каталогов и сети для повышения привилегий и поддержания персистентности.
Также заслуживает внимания злоупотребление облачными ресурсами организации-жертвы для размещения вредоносных утилит, отключающих брандмауэр и программное обеспечение безопасности и доставляющих их на другие конечные точки, что подчеркивает эволюционирующее мастерство хакерской группы.
Согласно последним выводам, группа стала аффилированным лицом группы вымогателей BlackCat (она же ALPHV или Noberus), которая, пользуясь своим новым статусом, взламывает MGM Resorts и распространяет вредоносное ПО для шифрования файлов.
"Исполнители угроз работают в чрезвычайно высоком оперативном темпе, получая доступ к критически важным системам и извлекая большие объемы данных в течение нескольких дней", - отметил Мандиант.
"При развертывании программ-вымогателей субъекты угрозы, по-видимому, специально нацелены на критически важные для бизнеса виртуальные машины и другие системы, вероятно, в попытке максимизировать воздействие на жертву".
"UNC3944 продемонстрировал более пристальное внимание к краже больших объемов конфиденциальных данных в целях вымогательства, и они, похоже, понимают западную деловую практику, возможно, из-за географического состава группы", - сказали в компании threat intelligence.
"UNC3944 также постоянно полагался на общедоступные инструменты и законное программное обеспечение в сочетании с вредоносным ПО, доступным для покупки на подпольных форумах".
Группа, также известная под названиями 0ktapus, Scatter Swine и Scattered Spider, активна с начала 2022 года, применяя социальную инженерию на основе телефона и фишинг на основе SMS для получения действительных учетных данных сотрудников с использованием поддельных страниц входа и проникновения в организации жертв, повторяя тактику, принятую другой группой под названием LAPSUS $.
Хотя первоначально группа была сосредоточена на компаниях, занимающихся телекоммуникациями и аутсорсингом бизнес-процессов (BPO), с тех пор она расширила свою деятельность, включив в нее гостиничный бизнес, розничную торговлю, средства массовой информации и развлечения, а также финансовые услуги, что свидетельствует о растущей угрозе.
Ключевой отличительной чертой участников угрозы является то, что они, как известно, используют учетные данные жертвы для выдвижения себя за сотрудника при звонках в службу поддержки организации в попытке получить коды многофакторной аутентификации (MFA) и / или сброса пароля.
Стоит отметить, что ранее в этом месяце Okta предупредила клиентов об аналогичных атаках, когда банда электронных преступников звонила в ИТ-службы поддержки жертв, чтобы обманом заставить персонал службы поддержки сбросить коды MFA для сотрудников с высокими привилегиями, что позволило им получить доступ к этим ценным учетным записям.
В одном случае, как утверждается, сотрудник установил вредоносное ПО RECORDSTEALER с помощью поддельной загрузки программного обеспечения, что впоследствии способствовало краже учетных данных. Страницы входа изгоев, разработанные с использованием фишинговых наборов, таких как EIGHTBAIT и другие, способны отправлять захваченные учетные данные на контролируемый участником Telegram-канал и развертывать AnyDesk.
Также было замечено, что злоумышленник использует различные похитители информации (например, Atomic, ULTRAKNOT или Meduza и Vidar) и инструменты для кражи учетных данных (например, MicroBurst) для получения привилегированного доступа, необходимого для достижения своих целей и расширения своих операций.
Часть деятельности UNC3944 включает в себя использование коммерческих прокси-сервисов для доступа к своим жертвам, чтобы избежать обнаружения и законного программного обеспечения удаленного доступа, а также проведение обширной разведки каталогов и сети для повышения привилегий и поддержания персистентности.
Также заслуживает внимания злоупотребление облачными ресурсами организации-жертвы для размещения вредоносных утилит, отключающих брандмауэр и программное обеспечение безопасности и доставляющих их на другие конечные точки, что подчеркивает эволюционирующее мастерство хакерской группы.
Согласно последним выводам, группа стала аффилированным лицом группы вымогателей BlackCat (она же ALPHV или Noberus), которая, пользуясь своим новым статусом, взламывает MGM Resorts и распространяет вредоносное ПО для шифрования файлов.
"Исполнители угроз работают в чрезвычайно высоком оперативном темпе, получая доступ к критически важным системам и извлекая большие объемы данных в течение нескольких дней", - отметил Мандиант.
"При развертывании программ-вымогателей субъекты угрозы, по-видимому, специально нацелены на критически важные для бизнеса виртуальные машины и другие системы, вероятно, в попытке максимизировать воздействие на жертву".
