Охотники за угрозами получают новый инструмент: фокус на канадские производства и группу Scattered Spider

Основная мотивация группы - финансовая, что проявляется в атаках с использованием программ-вымогателей (ransomware) и шантаже на основе украденных данных. Для противодействия таким угрозам эксперты предлагают сфокусированное упражнение по охоте, используя конкретные технические данные. В частности, для поиска в системах защиты конечных точек (EDR) и песочницах рекомендовано проверить пять файловых хэшей, включая SHA256 "b6e82a4e6d8b715588bf4252f896e40b766ef981d941d0968f29a3a444f68fef" и MD5 "1e5ad5c2ffffac9d3ab7d179566a7844".

Параллельно необходимо проанализировать сетевую активность. Пять IP-адресов, среди которых "146.70.103[.]228" и "185.123.143[.]197", фигурировали в инфраструктуре, приписываемой Scattered Spider. Эти адреса могли использоваться для командования и управления (C2, Command and Control), организации VPN-туннелей или как вспомогательные прокси-серверы. Важно подчеркнуть, что данные индикаторы следует рассматривать как подозрительные, а не как стопроцентно вредоносные для немедленной блокировки, поскольку некоторые из них могут принадлежать к легитимным, но скомпрометированным сервисам.

Практическое руководство для специалистов SOC рекомендует трехэтапный подход. Во-первых, необходимо выполнить обратный поиск по предоставленным хэшам в телеметрии конечных точек. Этот процесс включает проверку журналов EDR, антивирусных событий и инвентаризацию файлов на критических системах, таких как jump-серверы и административные рабочие станции.

Во-вторых, требуется тщательный анализ сетевой телеметрии. Специалисты должны искать соединения с указанными IP-адресами в логах прокси-серверов, межсетевых экранов и систем мониторинга DNS. Особое внимание следует уделить необычному исходящему трафику с систем, взаимодействующих с АСУ ТП, а также административной активности в нерабочее время.

Третий, и часто упускаемый из виду, этап - проверка событий в системах идентификации и службах технической поддержки. Группа Scattered Spider известна сложными социально-инженерными атаками, нацеленными на службы поддержки IT (IT Help Desk). Следовательно, необходимо анализировать последние запросы на смену SIM-карт, сброс MFA или добавление новых номеров телефона к привилегированным учетным записям. Эти события затем нужно сопоставить с аномальными входами в корпоративную VPN или случаями "невозможного перемещения", когда один пользователь входит из географически несовместимых мест за короткий промежуток времени.

Эксперты отмечают, что подобные сфокусированные упражнения по проактивному поиску угроз (Threat Hunting) становятся критически важными в условиях, когда группы вроде Scattered Spider постоянно совершенствуют свои методы. Использование актуальных индикаторов компрометации (IOC, Indicators of Compromise), полученных из надежных источников, позволяет организациям выявлять следы злоумышленников на ранних стадиях кибератаки, до того как будет развернута основная вредоносная нагрузка (payload) и достигнута постоянность присутствия (persistence) в сети.

IPv4

• 103.15.20.10
• 103.16.146.2
• 120.138.9.38
• 130.12.183.19
• 134.209.37.214
• 135.181.128.54
• 142.132.220.146
• 146.70.103.228
• 149.28.125.96
• 162.220.15.170
• 162.220.15.190
• 163.44.198.41
• 176.53.12.17
• 185.123.143.197
• 185.202.220.239
• 192.250.229.213
• 193.141.60.60
• 194.93.14.42
• 198.187.31.106
• 198.38.87.214
• 20.12.212.103
• 203.175.8.87
• 203.98.83.109
• 204.76.203.223
• 205.209.119.82
• 212.99.45.180
• 31.31.198.199
• 38.190.177.184
• 43.231.112.25
• 45.114.225.27
• 45.132.227.211
• 46.59.86.3
• 65.108.120.126
• 65.108.231.96
• 65.109.32.114
• 65.21.123.25
• 69.164.255.130
• 72.9.148.195
• 80.75.212.112
• 80.75.212.116
• 80.75.212.126
• 81.91.85.141
• 85.192.63.30
• 91.238.72.69
• 95.173.180.70

MD5

• 1e5ad5c2ffffac9d3ab7d179566a7844
• 221d8352905f2c38b3cb2bd191d630b0
• 3849f30b51a5c49e8d1546960cc206c7
• 3a9349af006440c7e0da677724551239
• 5377e8f2ebdb280216c37a6195da9d6c
• 59ce0baba11893f90527fc951ac69912
• 5f49ac82edd8f3a3d7c47746b6523de9
• 6a16e166948ddb9e6e9f9de503e21c60
• 724f25e7f93eae0ae54a80142e11b7ef
• 8bdd2cdd39b2ad7b679faa50f629ce2b
• 936b35bfee8232f437bf6b46e88401dd
• 9b6c3518a91d23ed77504b5416bfb5b3
• a73ddd6ec22462db955439f665cad4e6
• b8ed2cb3e9fedec5b164ce84ad5a08d0
• c3c561c20e48169f4906c6b0b135984b
• cbcb58ffe45c202c11bcf2070496aed6
• dbc520ea1518748fec9fcfcf29755c30
• ebbcfb749a959fb53e9fc8b6dc915838
• eec5c6c219535fba3a0492ea8118b397
• fbe51695e97a45dc61967dc3241a37dc
• fd28239ca545da6ae157a6c7ab14dbf0

SHA256

• 3ea2d190879c8933363b222c686009b81ba8af9eb6ae3696d2f420e187467f08
• b6e82a4e6d8b715588bf4252f896e40b766ef981d941d0968f29a3a444f68fef