Главная страница » Индикаторы компрометации
0
4 дня
Индикаторы компрометации

ShinyHunters наращивают атаки: голосовой фишинг и вымогательство в облачных сервисах

APT

Специалисты компании Mandiant, входящей в Google Threat Intelligence Group (GTIG), зафиксировали значительную активизацию угрозы, связанной с группировками, использующими тактики, схожие с прошлыми операциями под брендом ShinyHunters. Злоумышленники совершенствуют методы для получения доступа к корпоративным облачным средам с последующей кражей конфиденциальных данных для вымогательства.

Описание

Основным вектором атаки остается сложный социальный инжиниринг. Угроза, отслеживаемая под кластерами UNC6661, UNC6671 и UNC6240, начинается с целенаправленного голосового фишинга (vishing). Злоумышленники, представляясь сотрудниками IT-отдела, звонят сотрудникам целевых компаний под предлогом обновления настроек многофакторной аутентификации (MFA). Они направляют жертв на фишинговые сайты, имитирующие корпоративные порталы входа. Эти домены часто следуют шаблонам, например, "<companyname>sso[.]com" или "<companyname>internal[.]com". На таких страницах происходит кража учетных данных единого входа (SSO) и кодов MFA, после чего злоумышленники регистрируют собственное устройство для аутентификации.

диаграмма пути атаки

После получения первоначального доступа акторы угрозы перемещаются по среде жертвы, нацеливаясь на данные в облачных SaaS-приложениях. Анализ показывает, что доступ к конкретным платформам часто носит оппортунистический характер и зависит от разрешений скомпрометированной учетной записи. При этом целевой поиск определенной информации присутствует. Например, в некоторых случаях злоумышленники искали в приложениях документы, содержащие слова "confidential", "internal", "proposal", или нацеливались на персональные данные в Salesforce. В качестве подтверждения кражи данных в ходе последующих операций вымогательства использовались образцы файлов, размещенные на платформе Limewire.

Для сокрытия следов применялись изощренные методы. В одном инциденте, получив доступ к учетной записи клиента Okta, группа UNC6661 установила и использовала аддон ToogleBox Recall для Google Workspace. Этот инструмент предназначен для поиска и безвозвратного удаления писем. С его помощью была удалена уведомительная электронная почта от Okta о регистрации нового устройства MFA, что затруднило обнаружение компрометации для сотрудника. Кроме того, в другом случае скомпрометированные почтовые ящики использовались для рассылки фишинговых писем контактам в криптовалютных компаниях с последующим удалением исходящих сообщений.

Активность по вымогательству после вторжений UNC6661 специалисты GTIG атрибутируют кластеру UNC6240. В вымогательских письмах, рассылавшихся в середине января 2026 года, злоумышленники указывали перечень похищенных данных, сумму выкупа в биткоинах и срок в 72 часа. Также наблюдались агрессивные тактики давления, включая прямую harassment (преследование) сотрудников жертв и DDoS-атаки на корпоративные веб-сайты. В конце января появилась новая площадка под брендом ShinyHunters для публикации украденной информации.

Отдельный кластер UNC6671 демонстрирует схожие TTP, но с различиями в деталях, например, использованием других регистраторов доменов и небрендированных писем для вымогательства. Это указывает на возможное участие отдельных лиц или параллельных групп в рамках общей модели операций.

Важно подчеркнуть, что эта активность не является результатом уязвимостей в продуктах или инфраструктуре вендоров. Она наглядно демонстрирует эффективность социальной инженерии против традиционных методов MFA, таких как push-уведомления или SMS. Эксперты Mandiant и Google настоятельно рекомендуют организациям по возможности переходить на устойчивые к фишингу методы аутентификации. Такие решения, как FIDO2-ключи или пасквили (passkeys), обеспечивают более высокий уровень защиты от перехвата учетных данных.

В целом, наблюдаемая активность свидетельствует об эволюции и расширении операций, связанных с вымогательством. Злоумышленники не только увеличивают перечень целевых облачных платформ для сбора более чувствительных данных, но и экспериментируют с новыми способами давления на жертв. Это требует от компаний повышенного внимания к защите идентификации, обучению сотрудников и внедрению более надежных технологий аутентификации.

Индикаторы компрометации

IPv4

  • 104.32.172.247
  • 142.127.171.133
  • 149.50.97.144
  • 157.131.172.74
  • 198.52.166.197
  • 199.127.61.200
  • 206.170.208.23
  • 209.222.98.200
  • 23.234.100.107
  • 23.234.100.235
  • 24.242.93.122
  • 37.15.73.132
  • 38.190.138.239
  • 67.21.178.234
  • 68.73.213.196
  • 73.135.228.98
  • 76.64.54.159
  • 76.70.74.63
  • 85.238.66.242
Комментарии: 0
Похожие записи
0
11.03.2024
Индикаторы компрометации

Иранские хакеры атакуют оборонные и аэрокосмические компании под видом благотворительных организаций

security
Компания Mandiant, известная своим экспертизом в области кибербезопасности, опубликовала тревожный отчет о масштабной шпионской кампании, связанной с Ираном. По данным аналитиков, группа хакеров под кодовым
0
09.10.2025
Новости

Утечка данных SonicWall: конфигурации брандмауэров клиентов оказались под угрозой

Взлом (hacking)
Компания SonicWall совместно с экспертами по реагированию на инциденты Mandiant завершила расследование инцидента, связанного с облачными резервными копиями. Расследование подтвердило, что неизвестная
0
25.02.2025
Индикаторы компрометации

Фишинговые кампании, направленные на высшие учебные заведения

phishing
Аналитическая компания Mandiant заметила стремительное увеличение фишинговых атак, направленных на образовательную отрасль, особенно на американские университеты.