Группа хакеров Scattered Lapsus$ Hunters, предположительно, развернула новую кампанию против пользователей платформы поддержки клиентов Zendesk. Согласно отчету компании ReliaQuest, злоумышленники зарегистрировали десятки поддельных доменов и создали вредоносные запросы в службу поддержки. Эксперты обнаружили более 40 доменов с опечатками, имитирующих официальные адреса Zendesk.
Описание
Мошеннические домены включали варианты вроде znedesk[.]com и vpn-zendesk[.]com. На этих сайтах размещались фишинговые страницы входа в систему Zendesk, предназначенные для кражи учетных данных. Все обнаруженные домены были зарегистрированы через компанию NiceNic с указанием регистрантов из США и Великобритании. Серверы имен использовали маскировку через Cloudflare для скрытия реальной инфраструктуры.
Аналитики ReliaQuest отметили сходство с предыдущей кампанией августа 2025 года, когда Scattered Lapsus$ Hunters атаковали платформу Salesforce. Тогда злоумышленники использовали аналогичные методы: одинаковое форматирование доменных имен, схожие характеристики регистрации и обманные порталы единого входа. Это позволяет предположить работу одной и той же группы или тщательное копирование тактик.
Новый вектор атаки включает отправку поддельных заявок в службы поддержки компаний-клиентов Zendesk. Злоумышленники создают правдоподобные предлоги, например, запросы на сброс паролей или срочные обращения системных администраторов. Целью становится заражение сотрудников поддержки троянами удаленного доступа и другим вредоносным программным обеспечением.
Первой подтвержденной жертвой мог стать сервис Discord, который в прошлом месяце сообщил о взломе через поставщика услуг поддержки. Злоумышленники скомпрометировали систему на базе Zendesk, похитив данные пользователей. Утечка включала имена, адреса электронной почты, платежную информацию, IP-адреса и даже сведения о государственных удостоверениях личности.
Атаки на клиентов Zendesk продолжают серию нападений на SaaS-платформы, включая Salesforce, Salesloft Drift и Gainsight. ReliaQuest характеризует эти платформы как высокоценные цели с широким внедрением в организациях и доступом к данным клиентов. Однако компания допускает, что кампания против Zendesk может быть работой подражателей, а не оригинальной группы Scattered Lapsus$ Hunters.
Эксперты по безопасности рекомендуют организациям срочно принять защитные меры. Прежде всего, необходимо требовать многофакторную аутентификацию с аппаратными ключами безопасности для всех административных учетных записей Zendesk. Дополнительно следует настроить политики белого списка IP-адресов и ограничения времени сеансов.
Эффективной защитой от фишинга может стать мониторинг доменных имен и DNS-фильтрация. Эти меры позволяют обнаруживать и блокировать домены с опечатками до их использования в мошеннических кампаниях. Также важно ограничить круг сотрудников, которые могут получать прямые сообщения через чат Zendesk, и развернуть фильтрацию контента для выявления фишинговых ссылок.
Подобные атаки демонстрируют растущую изощренность киберпреступников, которые все чаще нацеливаются на цепочки поставок услуг. Использование легитимных платформ поддержки клиентов позволяет обходить традиционные средства защиты. Следовательно, организациям необходимо усиливать меры безопасности именно в точках взаимодействия с клиентами и партнерами.
Ситуация требует повышенного внимания, поскольку успешная атака на службу поддержки может привести к каскадному заражению всей корпоративной сети. Получение доступа к учетным данным технических специалистов открывает злоумышленникам путь к критически важным системам и данным. Поэтому профилактические меры становятся не просто рекомендацией, а необходимостью в текущих условиях киберугроз.
Индикаторы компрометации
Domains
- vpn-zendesk.com
- znedesk.com
