Финансово мотивираният извършител, известен като UNC3944, се насочва към внедряване на ransomware като част от разширяване на стратегиите си за печелене на пари, разкри Mandiant.

„UNC3944 демонстрира по-силен фокус върху кражбата на големи количества чувствителни данни с цел изнудване и изглежда разбира западните бизнес практики, вероятно поради географския състав на групата“, заяви фирмата за разузнаване на заплахи.

„UNC3944 също така последователно разчита на публично достъпни инструменти и легитимен софтуер в комбинация със зловреден софтуер, който може да бъде закупен от подземни форуми.“

Групата, известна още с имената 0ktapus, Scatter Swine и Scattered Spider, е активна от началото на 2022 г., като използва телефонно социално инженерство и SMS-базиран фишинг, за да получи валидни идентификационни данни на служителите с помощта на фалшиви страници за влизане и да проникне в организациите жертви, отразявайки тактиката, възприета от друга група, наречена LAPSUS$.

Макар че първоначално групата се е фокусирала върху телекомуникационни компании и компании за аутсорсинг на бизнес процеси (BPO), впоследствие тя е разширила целевите си действия, включвайки хотелиерство, търговия на дребно, медии и развлечения и финансови услуги, което е показателно за нарастващата им сила.

Основна отличителна черта на хакерите от  заплахата е, че те са известни с това, че използват идентификационните данни на жертвата, за да се представят за служител при обаждания до бюрото за обслужване на организацията в опит да получат кодове за многофакторна автентикация (MFA) и/или възстановяване на пароли.

Струва си да се отбележи, че по-рано този месец Okta предупреди клиентите си за същите атаки, при които бандата за електронни престъпления се обажда на бюрата за помощ на ИТ на жертвите, за да заблуди служителите по поддръжката да нулират кодовете за MFA на служителите с високи привилегии, което им позволява да получат достъп до тези ценни акаунти.

В един от случаите се твърди, че служител е инсталирал зловредния софтуер RECORDSTEALER чрез фалшиво изтегляне на софтуер, което впоследствие е улеснило кражбата на удостоверения. Измамните страници за вписване, разработени с помощта на фишинг комплекти като EIGHTBAIT и други, са в състояние да изпратят заловените идентификационни данни към контролиран от бандата канал в Telegram и да разгърнат AnyDesk.

Наблюдавани са също така случаи на използване от противника на различни инструменти за кражба на информация (например Atomic, ULTRAKNOT или Meduza и Vidar) abd credential theft tools (например MicroBurst), за да получи привилегирован достъп, необходим за постигане на целите му и за разширяване на операциите му.

Част от дейността на UNC3944 включва използването на търговски домашни прокси услуги за достъп до техните жертви, за да избегнат откриването и легитимния софтуер за отдалечен достъп, както и провеждането на широкомащабно разузнаване на директории и мрежи, за да се подпомогне ескалирането на привилегиите и поддържането на устойчивост.

Заслужава да се отбележи и злоупотребата с облачните ресурси на организацията-жертва за хостване на злонамерени програми за деактивиране на защитна стена и софтуер за сигурност и доставянето им на други крайни точки, което подчертава развиващите се умения на хакерската група.

Последните констатации идват в момент, когато групата се изявява като филиал на екипа на BlackCat (известен още като ALPHV или Noberus) ransomware, възползвайки се от новопридобития си статут, за да пробие MGM Resorts и да разпространи зловредния софтуер, криптиращ файлове.

„Участниците в заплахата действат с изключително високо оперативно темпо, като получават достъп до критични системи и ексфилтрират големи обеми данни в рамките на няколко дни“, посочва Mandiant.

„При разгръщането на ransomware престъпниците изглежда се насочват специално към критични за бизнеса виртуални машини и други системи, вероятно в опит да увеличат максимално въздействието върху жертвата.“

Източник: The Hacker News

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
21 януари 2025

Злоупотреба с услугите на Microsoft за първонач...

Наблюдавани са две отделни заплахи, които злоупотребяват с услугите...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

Нарушаване на сигурността н...

Базираният в Калифорния гигант в областта...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!