Новый виток атак: телефонное мошенничество за минуты открывает доступ к корпоративным данным

Эта активность, как сообщают аналитики Unit 42 из Palo Alto Networks, с высокой долей вероятности связана с группировкой Bling Libra (также известной как ShinyHunters) или другими угрозчиками, аффилированными с альянсом Scattered LAPSUS$ Hunters. Их методы идеально вписываются в общие тренды, описанные в недавнем Глобальном отчёте по реагированию на инциденты за 2026 год. Согласно отчёту, в 89% расследованных случаев слабость систем аутентификации сыграла ключевую роль в успехе атаки, а в 33% инцидентов использовалась социальная инженерия, включая вишинг. При этом наблюдается любопытный сдвиг: использование шифрования данных для вымогательства снизилось с 92% в 2024 году до 78% в 2025, что может указывать на смещение фокуса хакеров в сторону чистого шантажа на основе украденной информации, а не её блокировки.

Эффективность этих операций зиждется на фундаментальном разрыве между процедурами проверки личности и уровнем разрешений в облачных сервисах. Вместо скоростного технического взлома злоумышленники выбирают тактику «тихо и медленно», мастерски манипулируя человеческим фактором. Атака начинается с тщательно подготовленного звонка. Используя информацию с профессиональных соцсетей, злоумышленники, представляясь сотрудниками внутреннего IT-отдела, обращаются к жертве по имени. Под предлогом срочной необходимости настроить «пасскей» для единого входа они создают ощущение авторитетности и срочности. Чтобы обойти корпоративные файрволлы и системы проверки URL, жертву просят использовать личный мобильный телефон для перехода на фишинговый сайт, визуально неотличимый от настоящего портала компании. Примечательно, что для звонков используются легитимные номера с поддельными записями Caller ID, что позволяет избежать пометки «Возможный спам» в современных системах проверки звонков.

После взаимодействия жертвы с фишинговой страницей в дело вступает сложная схема «злоумышленник посередине» для обхода многофакторной аутентификации в реальном времени. Пока сотрудник вводит свои учётные данные, злоумышленник с помощью антидетект-браузеров и резидентских прокси в режиме реального времени передаёт их на настоящий портал единого входа, имитируя локальный вход. Когда система запрашивает второй фактор, атакующие выбирают вариант подтверждения через одноразовый код. Фишинговая страница зеркалирует этот запрос, перехватывает код у сотрудника и позволяет злоумышленнику завершить аутентификацию. Далее следует ключевой этап закрепления в системе: под видом «медленной настройки пасскея» атакующие получают время, чтобы зайти в реальную панель управления SSO жертвы и добавить новое устройство для MFA - часто это Android-эмулятор, названный «Passkey». Таким образом, любое оповещение о новом устройстве будет проигнорировано пользователем как часть процесса, который он яколько сейчас выполняет.

Получив доступ, злоумышленники двигаются не по внутренней сети, а через интерфейсы облачных сервисов. Первым делом они удаляют из почтового ящика жертвы уведомления о новом входе или устройстве, чтобы избежать раннего обнаружения. Если требуется доступ к внутренним ресурсам, используются скомпрометированные учётные данные для авторизации в корпоративном VPN. Основная цель - данные. Группа фокусируется на приложениях с встроенными функциями массового экспорта, таких как CRM-системы. Атакующие часто формируют нефильтрованные отчёты типа «Контакты и счета», максимально увеличивая количество полей для выгрузки всей возможной информации. В других сервисах они целенаправленно ищут и скачивают файлы с пометками «конфиденциально» или «секретно».

Данная кампания наглядно демонстрирует, как устаревшие модели безопасности, сфокусированные на защите периметра сети, бессильны против атак, нацеленных на человеческое доверие и слабые места в управлении идентификацией. Рекомендации для специалистов по безопасности очевидны, но критически важны: усилить обучение сотрудников по противодействию вишингу с реалистичными симуляциями, внедрить решения для защиты идентификации, способные анализировать риск входа по множеству параметров, и ужесточить политики регистрации новых устройств MFA, требуя дополнительного подтверждения для подобных действий. В современной цифровой среде доверие, полученное по телефону, может стать ключом ко всем корпоративным активам за считанные секунды.

IPv4

• 104.175.82.79
• 104.193.195.200
• 138.199.6.209
• 141.224.140.62
• 141.98.255.243
• 146.70.172.156
• 149.75.194.213
• 172.56.195.164
• 172.56.199.200
• 173.11.73.245
• 173.247.193.250
• 173.49.144.24
• 173.53.121.241
• 174.244.18.160
• 179.43.185.226
• 185.195.233.152
• 185.209.199.104
• 185.209.199.77
• 185.231.32.34
• 193.138.218.218
• 198.54.111.37
• 199.127.61.200
• 212.247.150.205
• 23.234.100.107
• 23.234.100.212
• 23.234.100.235
• 23.93.251.87
• 24.237.69.80
• 31.57.147.125
• 45.134.26.68
• 45.84.107.17
• 70.109.196.15
• 70.237.135.82
• 71.233.191.224
• 73.159.223.249
• 73.170.199.103
• 73.218.14.2
• 73.51.249.216
• 75.250.181.136
• 76.127.241.83
• 76.152.11.158
• 98.26.99.167
• 98.27.195.220