Очередная мишень для Scattered LAPSUS$ Hunters - Zendesk

Тактика использования доменов-типсквотов для атак на поставщиков SaaS (программное обеспечение как услуга) хорошо знакома по предыдущим операциям SLSH. В частности, группа применяла её при атаке на Salesforce, а также на компании из секторов розничной торговли, страхования и авиации. Эксперты отмечают, что SLSH полагаются на сочетание социальной инженерии с фишингом, используя поддельные домены и инструменты вроде Evilginx для обхода многофакторной аутентификации (MFA).

Группа считается частью децентрализованного онлайн-сообщества «Hacker Com», объединяющего в основном молодых англоговорящих хакеров, специалистов по SIM-свопингу и вымогателей. Участники этого сообщества ранее действовали под разными названиями, включая Octo Tempest (Scattered Spider), Strawberry Tempest (LAPSUS$) и ShinyHunters, и активны как минимум с 2021 года. Их отличает высокий навык в социальной инженерии, несанкционированном переносе сим-карт, горизонтальном перемещении по сетям и извлечении данных. Несмотря на ряд арестов, в основном молодых людей в возрасте 16-22 лет, группа демонстрирует устойчивость и продолжает проводить громкие кибератаки.

В последнее время SLSH провела серию атак с использованием вредоносного ПО для шифрования данных (ransomware) на британского автопроизводителя Jaguar Land Rover, а также компании Salesloft Drift и Gainsight. Атака на цепочку поставок Salesforce затронула и скандинавские компании. В то время как компания Pandora публично признала факт взлома, другие пострадавшие фирмы, чьи имена появились на сайте для утечек, официальных заявлений не делали.

Успешный компрометат корпоративного экземпляра Zendesk предоставляет злоумышленникам доступ к тикетам службы поддержки, которые часто содержат конфиденциальную персональную информацию (PII), данные о внутренних процессах, а иногда и общие учетные данные или ключи API. Скорее всего, эти данные будут использованы для дальнейшего шантажа или для продвижения во внутренние сети клиентов компании-жертвы.

Выявленная ранее целевая кампания социальной инженерии против пользователей Zendesk, вероятно, использовала новую инфраструктуру для облегчения атак на цепочку поставок по аналогии с инцидентом в Salesforce. Высокообъёмная фишинговая кампания, предположительно, уже активна. Злоумышленники почти наверняка будут применять атаки типа «противник в середине» (Adversary-in-the-Middle, AiTM) в стиле Evilginx для обхода стандартной MFA, нацеливаясь на сотрудников поддержки или администраторов с целью перехвата сессий и получения доступа к учетным данным.

Поскольку основной вектор атак этой группы опирается на манипулирование людьми, а не на технические уязвимости, организациям необходимо уделить первостепенное внимание человеческому фактору. Следует усилить подготовку сотрудников службы поддержки и IT-отдела по процедурам верификации при запросах доступа, сброса паролей или изменений в системах. Необходимо внедрить строгие протоколы проверки личности, выходящие за рамки стандартных вопросов, особенно для привилегированных запросов. Полезно проводить регулярные учебные фишинговые и вишинг-симуляции, а также повышать осведомлённость об атаках на усталость от MFA и методах сбора учётных данных. Службу поддержки и IT-специалистов следует рассматривать как защитников первой линии.

С учётом того, что SLSH уже атаковала такие популярные SaaS-платформы, как Salesforce и Gainsight, а теперь, вероятно, нацелилась на Zendesk, безопасность цепочки поставок SaaS становится приоритетом. Следует ограничить мощные разрешения, такие как «API Enabled» и «Manage Connected Apps», только доверенным администраторам. Рекомендуется внедрить белые списки IP-адресов для профилей пользователей и подключённых приложений, а также развернуть автоматизированный мониторинг для обнаружения аномальных скачиваний или подозрительной активности API. Для всех административных учётных записей необходимо применять устойчивую к фишингу MFA, например, с использованием аппаратных ключей безопасности. Также важен регулярный аудит подключённых приложений и немедленный отзыв неиспользуемых или подозрительных OAuth-токенов.

Злоумышленники регистрируют домены по предсказуемым шаблонам, таким как «company-okta[.]com» или «company-salesforce[.]com». Поэтому критически важно активно отслеживать домены-типсквоты. Следует внедрить решения для защиты от цифровых рисков (Digital Risk Protection, DRP) для раннего обнаружения случаев имитации бренда. Необходимо мониторить и блокировать регистрацию подозрительных доменов, содержащих название организации в сочетании с ключевыми словами: okta, sso, helpdesk, ticket, salesforce, Zendesk.

Domains

• company-okta.com
• company-salesforce.com
• ticket-companyname.com
• vpn-zendesk.com
• znedesk.com