Думали, MFA защищает. Scattered Spider звонком добавила свои устройства

Федеральное бюро расследований США официально предупредило о расширении масштабов атак кибергруппировки Scattered Spider, которая теперь активно нацеливается на авиационную отрасль. По данным ведомства, злоумышленники используют социальную инженерию, чтобы проникать в инфраструктуру авиакомпаний и их подрядчиков. Представители ФБР пояснили, что злоумышленники мастерски выдают себя за сотрудников или подрядчиков, обманывая специалистов технической поддержки и убеждая их предоставить доступ к учётным записям. Чаще всего это приводит к тому, что в систему добавляются несанкционированные устройства для многофакторной аутентификации (MFA), что позволяет преступникам обойти стандартные механизмы защиты. Особую опасность представляют атаки Scattered Spider через подрядчиков и внешние IT-компании. Используя доверительные отношения с такими организациями, кибергруппировка получает доступ к системам крупных компаний, после чего начинается кража данных, вымогательство или внедрение программ-вымогателей. Специалисты Palo Alto Networks из подразделения Unit 42 подтвердили активность Scattered Spider против авиационного сектора и призвали компании быть особенно осторожными. Они рекомендуют проявлять бдительность к любым подозрительным запросам на сброс MFA и усилить проверки при восстановлении доступа к учётным записям. Компания Mandiant недавно также отметила всплеск активности группы в сфере авиации и транспорта. По их наблюдениям, злоумышленники действуют по знакомому сценарию, комбинируя методы социальной инженерии и технические атаки. Эксперты подчёркивают, что Scattered Spider делает ставку не столько на технологии, сколько на человеческий фактор. Группа прекрасно понимает, как устроены рабочие процессы в крупных компаниях, и умело эксплуатирует слабости сотрудников техподдержки, особенно в ситуациях давления и дефицита времени. Группировка действует под различными именами, включая Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud и UNC3944. Первоначально она прославилась атаками с подменой SIM-карт, но со временем её арсенал пополнился фишингом , обманом служб поддержки и внедрением инсайдеров. По данным компании Halcyon, Scattered Spider представляет собой серьёзную эволюцию угрозы программ-вымогателей. Они сочетают социальную инженерию, техническую изощрённость и быструю реализацию двойного шантажа — от проникновения до шифрования и кражи данных проходит всего несколько часов. Уникальность группы заключается в сочетании тщательного планирования и резкой эскалации атак. Преступники тратят время на сбор информации о жертвах, используя соцсети и утечки данных, чтобы с пугающей точностью копировать поведение настоящих сотрудников. Эта тактика позволяет им успешно внедряться в гибридные инфраструктуры, оставаясь незамеченными до самого критического момента. При этом Scattered Spider тесно связана с более широкой хакерской экосистемой под названием Com, включающей, среди прочих, известную группу LAPSUS$. Истоки сообщества уходят к платформам Discord и Telegram, где участники объединились, несмотря на разные интересы и бэкграунд. Именно размытая структура и отсутствие строгой иерархии делают группу крайне трудноуязвимой для правоохранителей. Один из последних инцидентов, подробно описанный аналитиками ReliaQuest, демонстрирует опасный уровень подготовки и изощрённости злоумышленников. В конце прошлого месяца они успешно проникли в инфраструктуру неназванной компании, выбрав своей целью финансового директора. Преступники заранее собрали детальную информацию о топ-менеджере, включая дату рождения и последние цифры номера социального страхования, чтобы пройти многоступенчатую аутентификацию и убедительно выдать себя за него при обращении в службу поддержки. С помощью этих данных они обманули IT-отдел, сбросили MFA и получили доступ к корпоративным системам. Далее группа провела масштабное исследование инфраструктуры, включая облачные сервисы Entra ID и SharePoint, чтобы выявить уязвимые участки. Злоумышленники проникли в виртуальные рабочие столы компании, взломали VPN-систему и реанимировали отключённые виртуальные машины, чтобы получить доступ к критически важным серверам VMware vCenter и данным домен-контроллеров. На этом этапе они извлекли конфиденциальные данные, включая содержимое базы NTDS.dit, и вскрыли хранилище паролей CyberArk, получив более 1 400 секретов. Используя легитимные инструменты вроде ngrok, преступники обеспечили себе постоянный доступ к системе. Когда атака была обнаружена, Scattered Spider перешли к тактике «выжженной земли» , удаляя критические политики безопасности Azure и нарушая работу инфраструктуры. По словам ReliaQuest, борьба за контроль над учётными записями в Entra ID превратилась в настоящую схватку между группой реагирования и преступниками, закончившуюся только после вмешательства специалистов Microsoft. Этот инцидент стал наглядным подтверждением того, насколько серьёзно эволюционировали методы социальной инженерии. Современные атаки уже не ограничиваются фишингом — это целенаправленные кампании, в которых злоумышленники следуют чётким пошаговым сценариям, чтобы обходить все уровни защиты. По мнению специалистов, усиление внутренних процессов и проверок в службах поддержки стало первоочередной задачей для всех компаний. Чем больше решений по идентификации завязано на человеческий фактор, тем выше риск стать жертвой таких атак.

Источник: https://www.securitylab.ru/news/560857.php

Вы просто открыли Excel. Презентации, письма, VPN — всё, что вы берегли, уже в чужом чате

Хакерская группировка UAC-0226 продолжает активно развивать вредоносное программное обеспечение GIFTEDCROOK, которое изначально использовалось как инструмент для кражи данных из браузеров, а теперь приобрело расширенные функции, позволяющие осуществлять целенаправленный сбор конфиденциальных документов и файлов. Специалисты из Artic Wolf сообщили , что в июне 2025 года зафиксированы новые кампании с применением обновлённого GIFTEDCROOK. Программа теперь может извлекать с устройств широкий спектр файлов, включая документы, изображения и внутренние материалы, а также данные браузеров. Эксперты подчёркивают, что инструмент стал выполнять более сложные задачи, связанные с кибер шпионажем и сбором информации с целевых систем. Первоначально активность этой угрозы была обнаружена в начале апреля 2025 года. Злоумышленники рассылали электронные письма, к которым прикреплялись документы Microsoft Excel, содержащие вредоносные макросы. После активации макросов происходила загрузка и запуск GIFTEDCROOK. Изначально вредоносное ПО было направлено на кражу cookie-файлов, истории браузеров и учётных данных из популярных веб-обозревателей — Google Chrome, Microsoft Edge и Mozilla Firefox. Однако по мере развития атаки программа получила дополнительные возможности. Версии 1.2 и 1.3, представленные после тестовой версии февраля 2025 года, позволили красть файлы размером до 7 мегабайт, если они были созданы или изменены в течение последних 45 дней. Среди интересующих злоумышленников форматов — текстовые документы, таблицы, презентации, изображения, архивы, электронные письма и конфигурационные файлы VPN. Конкретно это расширения .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .jpg, .png, .pdf, .odt, .ods, .rar, .zip, .eml, .txt, .sqlite и .ovpn. Для распространения вредоноса злоумышленники используют тщательно подготовленные электронные письма с официально выглядящими PDF-файлами. Внутри письма находится ссылка на облачное хранилище Mega, где размещён XLSM- документ с вредоносным макросом. При включении макросов в Excel — загружается и запускается GIFTEDCROOK. Вскоре после запуска все собранные данные упаковываются в ZIP-архив и отправляются через Telegram-канал, контролируемый злоумышленниками. Если общий размер украденных данных превышает 20 мегабайт, архив автоматически разбивается на части, что позволяет незаметно для систем защиты передавать информацию по сети. После завершения кражи срабатывает скрипт, который удаляет все следы присутствия вредоноса на устройстве. По словам специалистов, новая версия вредоносной программы направлена не столько на кражу учётных данных, сколько на систематический сбор важных документов. Среди похищаемого — PDF-файлы, таблицы, текстовые документы, VPN-конфигурации и другие внутренние материалы, что делает угрозу особенно опасной для организаций, обрабатывающих чувствительную информацию. Кроме того, эксперты обратили внимание на то, что развитие функциональности GIFTEDCROOK происходит синхронно с общими изменениями в киберугрозах. Если ранние версии были нацелены преимущественно на учётные данные, то последние обновления показывают переход к комплексному шпионскому инструментарию, предназначенному для извлечения максимально полного объёма информации с заражённых устройств.

Источник: https://www.securitylab.ru/news/560856.php

Обычный архив. Обычные файлы. Только теперь вас слушает Китай

Китайская хакерская группировка Mustang Panda вновь оказалась в центре внимания после серии атак, направленных на тибетское сообщество. Об этом сообщили специалисты IBM X-Force, зафиксировавшие активную шпионскую кампанию, в ходе которой злоумышленники использовали тематику, связанную с Тибетом, чтобы заманивать жертв. Среди тем, служивших приманкой, фигурировали события вроде 9-й Всемирной конференции парламентариев по Тибету, вопросы образовательной политики Китая в Тибетском автономном районе и недавно опубликованная книга Далай-ламы XIV. Маскируясь под безобидные документы, хакеры распространяли вредоносное программное обеспечение среди представителей тибетской общины. Как уточнили в IBM, атаки начались в июне. В результате заражения на компьютеры жертв устанавливался вредонос под названием PUBLOAD , ранее уже связывавшийся с Mustang Panda . В рамках внутренних обозначений компании эта активность отслеживается под кодовым именем Hive0154. Схема атаки была достаточно изощрённой. Жертве отправляли архив с материалами на тибетскую тему — это могли быть статьи с тибетских сайтов или фотографии с конференции WPCT. Вместе с ними в архиве находился исполняемый файл, замаскированный под документ. При его запуске происходила цепочка заражения, включающая классическую технику подмены динамических библиотек ( DLL Sideloading ). Сначала запускался модуль Claimloader, предназначенный для установки PUBLOAD — вредоносного загрузчика, отвечающего за связь с удалённым сервером и загрузку следующего элемента атаки, называемого Pubshell. Последний представляет собой облегчённую версию известного инструмента TONESHELL и позволяет злоумышленникам получать удалённый доступ к системе через обратное подключение. По словам специалистов, архитектура Pubshell практически повторяет функционал TONESHELL. Однако, если TONESHELL сразу возвращает результаты команд, то Pubshell требует дополнительного запроса, а взаимодействие с системой ограничивается стандартной командной оболочкой «cmd.exe». Исходя из этого, исследователи предполагают, что PUBLOAD и Pubshell являются менее сложной, упрощённой версией прежних инструментов группировки. Отдельного упоминания заслуживает разница в терминологии. Если IBM подразделяет используемые компоненты на Claimloader и PUBLOAD, то, например, в Trend Micro оба модуля обозначаются как PUBLOAD, а компания TeamT5 и вовсе объединяет их под названием NoFive. Несмотря на разночтения, речь идёт о схожих по функциям элементах заражения. Новая волна атак против тибетского сообщества разворачивается на фоне более масштабных операций Mustang Panda за пределами региона. Ранее подразделение Hive0154 атаковало государственные и дипломатические структуры в США, на Филиппинах, в Пакистане и на Тайване. Сценарий действий оставался неизменным: жертвам рассылались электронные письма со ссылками на файлы в Google Drive, которые после загрузки разворачивали заражённые ZIP- или RAR-архивы. В результате на компьютерах устанавливались уже известные инструменты TONESHELL или PUBLOAD. Особенно выделяются атаки на Тайване, где злоумышленники применяли USB-червя HIUPAN (также известного как MISTCLOAK или U2DiskWatch). С его помощью заражение распространялось через флеш-накопители, что позволяло атаковать оффлайн-системы, включая те, что работают в изолированных сетях. По мнению специалистов, Mustang Panda остаётся одной из наиболее активных и опасных группировок, связанных с Китаем. Хакеры демонстрируют высокий уровень подготовки, регулярно обновляют инструментарий и используют широкий арсенал вредоносных программ. Их главной целью по-прежнему остаются организации из Восточной Азии, включая как государственные структуры, так и частный сектор. Использование USB-червей и постоянное совершенствование вредоносного кода подчёркивают серьёзность угрозы, исходящей от этой группировки.

Источник: https://www.securitylab.ru/news/560855.php

Скачали DeepSeek с левого сайта? Sainbox RAT уже 72 часа мониторит ваши пароли

Китайская хакерская группа Silver Fox, известная также под именем Void Arachne, вновь оказалась в центре внимания специалистов по информационной безопасности. По данным компании Netskope, зафиксирована новая вредоносная кампания, в рамках которой злоумышленники создают поддельные сайты популярных программ, включая WPS Office, Sogou и DeepSeek, чтобы заразить компьютеры пользователей шпионским ПО. Как отмечается, фальшивые веб-ресурсы, среди которых обнаружен домен «wpsice[.]com», маскируются под официальные страницы известных приложений. Основной удар направлен на китаеязычную аудиторию — это подтверждает наличие на сайтах MSI-установщиков, выполненных исключительно на китайском языке. Через эти вредоносные установщики на устройства загружается набор инструментов, включающий троян Sainbox RAT — модифицированную версию широко известного Gh0st RAT — а также скрытый драйвер на базе открытого проекта Hidden, предназначенный для маскировки следов присутствия вредоносного кода. Специалисты Netskope подчёркивают, что такой подход позволяет злоумышленникам эффективно управлять заражёнными системами и скрывать признаки атаки без необходимости разрабатывать собственные сложные инструменты. Использование готовых решений вроде Hidden упрощает задачу, сохраняя высокий уровень незаметности. В рамках текущей кампании злоумышленники применяют методику подмены легитимных библиотек — DLL Sideloading . Загружаемый через сайт установщик запускает легитимный исполняемый файл под названием «shine.exe», который, в свою очередь, инициирует выполнение модифицированной библиотеки «libcef.dll». Эта библиотека извлекает и активирует вредоносный код, спрятанный внутри текстового файла «1.txt», находящегося в составе инсталлятора. Итогом является загрузка дополнительной DLL — именно она обеспечивает запуск Sainbox RAT и скрытного драйвера. Этот драйвер эффективно маскирует активность трояна, скрывая процессы и ключи реестра, связанные с вредоносным ПО. Примечательно, что Silver Fox не впервые прибегает к такой тактике. Летом 2024 года специалисты eSentire зафиксировали аналогичную кампанию, когда через поддельные сайты браузера Google Chrome распространялся Gh0st RAT. А в феврале текущего года компания Morphisec обнаружила ещё одну атаку той же группы — тогда мошенники использовали фальшивые сайты, рекламирующие браузер, чтобы заразить пользователей другой модификацией Gh0st RAT — известной под названием ValleyRAT (или Winos 4.0). По данным Proofpoint, ValleyRAT впервые был замечен осенью 2023 года и применялся преимущественно против китаеязычных пользователей. Тогда же распространялись и другие инструменты, включая Sainbox RAT и Purple Fox . Эксперты предупреждают, что использование модифицированных версий известных троянов и открытых руткитов позволяет злоумышленникам не только обойти базовые меры защиты, но и минимизировать затраты на разработку новых инструментов. Такая тактика делает кампании Silver Fox особенно опасными, учитывая их целенаправленную ориентацию на конкретные языковые и региональные аудитории.

Источник: https://www.securitylab.ru/news/560854.php

Когда Zero Day — не уязвимость, а диагноз: как Китай обнуляет США

Американские власти всё чаще говорят о необходимости наращивания наступательных кибервозможностей, особенно на фоне усиления Китая. Однако возникает вопрос, готова ли сама система закупок и кадров США к этому вызову, учитывая растущую зависимость от внешних поставщиков и нехватку внутреннего таланта . Эксперты предупреждают, что Китай уже превратил рынок нулевых уязвимостей в Восточной Азии в собственный ресурс. С 2016 года Пекин активно скупает или иным способом получает эксклюзивные инструменты взлома, чтобы использовать их в военных и разведывательных целях и одновременно мешать США делать то же самое. В отличие от американского подхода, ориентированного на крупные контракты, доверие и осторожность, китайская модель гибкая, децентрализованная и готова к риску. Авторы доклада подчёркивают, что разработка эксплойтов становится всё сложнее и дороже . Надёжные уязвимости требуют месяцев работы, а число специалистов, способных создавать такие инструменты, по всему миру измеряется сотнями. США сильно зависят от международного сообщества исследователей , в то время как Китай опирается на собственную, масштабную систему подготовки, где университеты, конкурсы и компании работают в единой связке. Американские закупки часто проходят через крупные оборонные подрядчики, но именно малые компании и индивидуальные разработчики создают большую часть самых ценных инструментов. Тем не менее, бюрократические барьеры, отсутствие юридической поддержки и сложности с допусками отпугивают многих. Кроме того, усиление киберзащиты со стороны американских IT-гигантов, таких как Google и Apple, делает работу ещё сложнее, одновременно ограничивая саму возможность использования эксплойтов. Китай, напротив, активно интегрировал свои технологические компании в государственные киберпрограммы. Уязвимости, найденные в ходе китайских конкурсов или работы исследователей, часто сразу передаются государству. Вместо того чтобы стремиться к максимальной скрытности, как это делают США, Китай делает ставку на скорость и массовость , не боясь повторного использования уязвимостей и их раскрытия. Благодаря этому уязвимость может использоваться сразу несколькими группами, а её жизненный цикл значительно продлевается. Авторы доклада призывают США к реформам. Они предлагают создать акселераторы для уязвимостей, увеличить финансирование хакерских клубов и соревнований, упростить процессы закупок и усилить защиту исследователей. Также предлагается создать государственный центр для прямой работы с поставщиками эксплойтов и привлекать иностранных специалистов, не отдавая при этом приоритеты авторитарным методам. Если США хотят сохранить преимущество в киберпространстве, им придётся серьёзно переосмыслить подход к наступательной кибермощи. Без этого, по мнению авторов, страна рискует уступить Китаю ключевые позиции в цифровой борьбе .

Источник: https://www.securitylab.ru/news/560843.php