Группировка ShinyHunters наращивает масштабы атак: AI-фишинг, инсайдеры и цепочки поставок под прицелом

ShinyHunters использует коллаборацию с участниками группировок Scattered Spider и The Com для проведения целевых фишинговых атак через телефонные звонки (vishing). С помощью социнжиниринга злоумышленники получают несанкционированный доступ к платформам единого входа (SSO) компаний из секторов ритейла, авиаперевозок и телекоммуникаций. Полученные данные эксфильтрируются и используются для вымогательства многомиллионных сумм.

Важной тенденцией стало активное внедрение инструментов на основе искусственного интеллекта. Атакующие используют платформы Bland AI и Vapi для создания адаптивных голосовых агентов, которые генерируют реалистичные диалоги, подстраиваются под ответы жертв и используют различные голосовые модели. Это позволяет масштабировать атаки и повышать их эффективность.

ShinyHunters также фокусируется на компрометации инженерных сред через утечки ключей доступа к таким платформам, как BrowserStack, JFrog и GitHub. Это открывает путь к проведению атак на цепочки поставок программного обеспечения, где уязвимость в одном компоненте может привести к компрометации тысяч систем.

Эксперты отмечают, что группировка активно торгует похищенными данными, предлагая наборы информации о клиентах авиакомпаний и ритейлеров по цене до $1 млн за организацию. Для коммуникации с покупателями используются Telegram и qTox.

Важным элементом стратегии ShinyHunters стало привлечение инсайдеров - сотрудников компаний, которые могут предоставить доступ к критическим системам, включая Okta, Citrix VPN и GitHub. В обмен на финансовое вознаграждение инсайдерам предлагается помочь в обходе корпоративных защитных механизмов.

Группировка демонстрирует высокую адаптивность, используя как классические методы социальной инженерии, так и современные технологии. Аналитики предупреждают, что другие киберпреступные группы, включая участников программ Ransomware-as-a-Service (RaaS), уже изучают тактику ShinyHunters для интеграции в свои операции.

IPv4

• 163.5.169.142
• 163.5.210.210
• 191.96.207.179
• 196.251.83.162
• 198.244.224.200
• 23.94.126.63
• 94.156.167.237

Domains

• admiring-shockley.196-251-83-162.plesk.page
• allvuesystems-okta.com
• bless-invite.com
• bmcorpuser.internal-okta.com
• corp-hubspot.com
• corporate-microsoft.com
• corporate-okta.com
• get-carrot-zoom.com
• help-allvuesystems.com
• modernatx-zoom.com
• morningstar-okta.com
• newscorp-okta.com
• okta-louisvuitton.com
• pure-okta.com
• recurly-zoom.com
• sharepoint-comcast.com
• sharepoint-workplaceview.com
• signin-okta.com
• sts-vodafone.com
• workday-hubspot.com
• workday-nike.com

SHA256

• 0383c0d109b7cfdef058b0197125c85d276510724be33a746056f9a7c181d761
• 36de93aaf26727f6dd55ff2100b08dfb52abccfb57a7bf4d07a7fb703a86623d
• 4e20f2c4c90e3654a8c43fb10003978d61d2b48426414dede3b1bd5a2c891b54
• 6aa51de51a6b352fd073b5b9080011d358d42fa190a8a9ee216e3ef6e657b801
• e5c5617c8676e9a5cf6108d344fe7fcb6590671efd6baccb02b9313da0f0d289

qTox ID

• BD1B683FD3E6CB094341317A4C09923B7AE3E7903A6CDB90E5631EC7DC1452636FF35D9F5AF2

Bitcoin Address

• bc1q5530apqz86eywm2f84mpcyuux3dv9mmztsdxt2

XMR Address

• 87cEqA6PunENHwe5h8XtRifWuDhNQXKwzGNSbwKmrdEehY4wjRjWvZmSgE8LHTe6e5Pmnuyyiu5AWbGCC9gHUzUj5KHnSH9