Главная страница » IOC
0
7 месяцев
IOC

Scattered Spider Ransomware IOCs

ransomware

Исследователи EclecticIQ проанализировали работу вымогательского ПО SCATTERED SPIDER (Octo Tempest), сфокусированного на атаках на облачную инфраструктуру в финансовом и страховом секторах.

SCATTERED SPIDER

Группа использует такие тактики социальной инженерии, как голосовой фишинг (vishing) и SMS-фишинг (smishing), чтобы атаковать службы ИТ-обслуживания и администраторов. Они часто покупают украденные учетные данные и используют такие приемы, как подмена SIM-карт, чтобы обойти многофакторную аутентификацию (MFA) и сохранить доступ. SCATTERED SPIDER использует легитимные инструменты и функции облачных сред, такие как Microsoft Entra ID, для постоянного доступа и перемещения в облачных средах.

Группа также использует утечку токенов аутентификации из публичных хранилищ, что позволяет ей обходить традиционные меры безопасности. SCATTERED SPIDER использует похитителей учетных данных для сбора и продажи токенов аутентификации для облачных сервисов на подпольных форумах. Они сотрудничают с другими киберпреступными группировками, такими как BlackCat/ALPHV, чтобы расширить свои возможности. Группа злоупотребляет межарендной синхронизацией и федеративными поставщиками идентификационных данных в Microsoft Entra ID, чтобы оставаться незамеченными во взломанных средах.

Передовая тактика SCATTERED SPIDER включает использование средств удаленного мониторинга и управления, отключение защитного ПО и развертывание программ-вымогателей на виртуальных машинах (ВМ), размещенных в облаке, например VMware ESXi. Стратегия SCATTERED SPIDER включает в себя методы эксфильтрации данных, разведки и уклонения, которые затрудняют обнаружение и представляют значительную опасность для организаций.

Indicators of Compromise

Domains

  • authenticate-bt.com
  • creditkarma-help.com
  • ibexglobai.com
  • login.five9-hr.com
  • login.uscc-hr.com
  • revolut-ticket.com
  • securian-hr.com
  • servicenow-help.com

MD5

  • 1d05a83a639031913574c0bbb06026a4
  • 586bd54b564926682b75330b190cbace
  • 8445274c237eb83d56070e499f43641f
  • b233ff9dcf5520d69f9b75e1424f3271
  • c7497366fd0d8c9d72f96e7190632a51
  • cc230dcea35be180e3487b53e4b2cfba
Комментарии: 0
Похожие записи
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
4 дня
IOC

EDRKillShifter от RansomHub

security
Исследователи ESET отметили существенные изменения в экосистеме вымогательского ПО в 2024 году, особенно в отношении банды RansomHub, которая стала одной из ведущих на данный момент.