Исследователи ISC SANS обнаружили новую волну регистрации мошеннических доменов, связанных с деятельностью хакерской группировки Scattered Spider. Злоумышленники, уже попавшие в поле зрения CISA (Агентства кибербезопасности и инфраструктуры США), активно используют брендовый фишинг и кражу учетных данных для несанкционированного доступа к корпоративным сетям. Анализ SANS выявил повторяющиеся шаблоны в новых доменах, что указывает на подготовку к масштабным фишинговым кампаниям, хотя подтвержденных случаев эксплуатации пока нет.
Описание
Тактика подмены доверенных сервисов
Согласно отчету CISA, Scattered Spider применяет социальную инженерию, имитируя легальные сервисы компаний. В частности, злоумышленники регистрируют домены по схемам:
- targetsname-cms[.]com
- targetsname-helpdesk[.]com
- oktalogin-targetcompany[.]com
Проверка через API ISC SANS показала, что только за последние сутки появились подозрительные домены, включая helpdesk-truist.com и cdn-truist.com, которые могут быть нацелены на финансовую организацию Truist. Хотя эти домены пока не активны, их наличие сигнализирует о потенциальной угрозе.
| 1 2 3 4 5 | curl -o recent.json 'https://isc.sans.edu/api/recentdomains/?json' % jq '.[] | select(.domainname | contains ("helpdesk")) | .domainname' recent.json % jq '.[] | select(.domainname | contains ("truist")) | .domainname' recent.json |
Динамика угрозы и адаптация методов
Scattered Spider демонстрирует гибкость, меняя шаблоны доменов после публикации отчетов. Изначально CISA отмечала использование слова "oktalogin", но сейчас акцент сместился на "helpdesk" и "cdn". Например, исследователи также обнаружили helpdeskmicrosoft[.]com, что указывает на попытки имитации службы поддержки Microsoft.
Важно отметить, что ни один из доменов пока не использовался в атаках, но их регистрация свидетельствует о подготовительной стадии. Эксперты подчеркивают: угроза эволюционирует быстрее, чем публикуются официальные рекомендации, поэтому компаниям нельзя ограничиваться шаблонными мерами защиты.
Хотя Truist оказался в зоне риска, нет свидетельств успешных атак. Однако подобные случаи подчеркивают необходимость проактивного подхода к кибербезопасности. Scattered Spider, как и Lapsus$, полагается на простые, но эффективные методы, что осложняет их обнаружение традиционными средствами защиты.
Заключение
Группировка Scattered Spider продолжает совершенствовать методы социальной инженерии, используя поддельные домены для фишинга. Компаниям критически важно отслеживать подобные угрозы в режиме реального времени и адаптировать защитные механизмы, учитывая изменчивость тактик злоумышленников.
Индикаторы компрометации
Domains
- 360aihelpdesk.com
- ai360helpdesk.com
- altruistonline.shop
- cdn-truist.com
- helpdesk-academy.net
- helpdesk-direct.online
- helpdesk-guardprotect.com
- helpdeskmaintenanceinc.online
- helpdeskmicrosoft.com
- helpdesk-software-29.online
- helpdesk-truist.com
- oktalogin-targetcompany.com
- targetsname-cms.com
- targetsname-helpdesk.com
