- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
По словам экспертов, конечная цель этой кампании – получить доступ к сетям операторов мобильной связи и провести атаку с подменой SIM-карты (SIM Swapping). CrowdStrike приписывает финансово мотивированные атаки группировке Scattered Spider.
Утверждается, что первоначальный доступ к целевой среде осуществляется с помощью атак социальной инженерии, вишинг - атак, сообщений Telegram, и выдачи себя за IT-персонал. В ходе атаки киберпреступник направляет жертву на фишинговый сайт, где жертва вводит свои учетные данные, или убеждает установить инструменты удалённого доступа, такие как AnyDesk и Getscreen.me.
Если целевая учетная запись защищена с помощью двухфакторной аутентификации (2FA), злоумышленник либо убеждает жертву сказать одноразовый пароль, либо использует технику атаки под названием MFA Fatigue, которая использовалась при взломе Microsoft, Cisco и Uber.
Во многих своих атаках Scattered Spider получал доступ к консоли многофакторной аутентификации (МФА) скомпрометированного объекта и регистрировал свои устройства, чтобы осуществлять постоянный удалённый доступ с помощью легитимных инструментов удалённого контроля. Это позволяет киберпреступнику оставаться незамеченным.
После первоначального доступа и установления постоянства злоумышленник:
- проводит разведку сред Windows, Linux, Google Workspace, Azure AD, Microsoft 365 и AWS;
- выполняет боковое перемещение по сети;
- использует SharePoint и OneDrive для сбора информации о VPN и МФА.