Залог успеха – тщательная подготовка. Ключ к корпоративной системе – невнимательная служба поддержки.
Киберпреступная группировка UNC3944, известная также как «0ktapus», «Scatter Swine» и «Scattered Spider», меняет свою тактику . Если раньше она сосредотачивалась на краже учетных данных, то теперь занимается вымогательством и шифрует данные жертв с помощью вредоносных программ-шифровальщиков.
Мотивированная финансовой выгодой, группировка продолжает использовать СМС-фишинг (смишинг) и социальную инженерию для получения доступа к корпоративным системам. Сотрудникам пишут от имени организации и побуждают к определенным действиям.
Эксперты компании Mandiant подчеркивают, что хакеры из UNC3944 хорошо понимают принципы ведения бизнеса на Западе. Целевую организацию тщательно изучают для создания поддельной веб-страницы «под ключ», максимально правдоподобной и убедительной. Чтобы воспроизвести детали интерфейса и имена реальных сервисов, анализируют уже украденную информацию из внутренних ресурсов. UNC3944 часто регистрирует похожие на оригинал доменные имена, добавляя элементы типа «-sso» или «-servicedesk».
Заполучив учетные данные, хакеры звонят в службу техподдержки от имени сотрудника, чтобы получить код многофакторной аутентификации или сбросить пароль. Эксперты Mandiant выявили как минимум три фишинговых программы, задействованных в кампаниях.
Одним из ранних инструментов для преступников был набор под названием EIGHTBAIT. Он применялся в разных кампаниях с конца 2021 до середины 2022 года. EIGHTBAIT был спроектирован для отправки украденных сведений в Telegram-канал злоумышленников. Кроме того, он мог устанавливать на компьютер жертвы утилиту удаленного доступа AnyDesk.
Эксперты отмечают, что сейчас UNC3944 часто использует легитимные программы в сочетании с вредоносным ПО, доступным на теневых форумах. Например, для кражи логинов и паролей применялись публичные утилиты вроде Trinity и CredDump, а также инфостилеры типа ULTRAKNOT. Для захвата данных использовались майнеры VIDAR и ATOMIC.
Хакерам также помогают облачные сервисы, которыми пользуются компании-жертвы. Для выгрузки данных обращаются к сервисам вроде Azure Data Factory.
Когда злоумышленники получают доступ к системе, они тратят много времени на изучение внутренней документации, чатов и других ресурсов, чтобы найти возможности для эскалации привилегий. Часто они нацелены на системы управления паролями и доступом.
«Индивидуальный почерк» UNC3944 — высокий темп операций и атаки на наиболее критичные для бизнеса системы, чтобы ущерб был максимально ощутимым.
Для защиты от UNC3944 эксперты рекомендуют использовать многофакторную аутентификацию без СМС, ограничить внешний доступ к облачным сервисам, ужесточить процедуры сброса паролей и повысить осведомленность персонала о механизмах фишинговых атак.