Перейти до основного матеріалу

Міжсекторальні пом'якшувальні заходи: Розсіяний павук

|

Керівництво щодо проактивного захисту

Підготовлено ISAC з фінансових послуг, ISAC з інформаційних технологій, ISAC з продовольства та сільського господарства, ISAC з охорони здоров'я, ISAC з авіації, ISAC з автомобільної промисловості, ISAC з роздрібної торгівлі та гостинності, ISAC з морської транспортної системи, ISAC з електроенергетики та Національною радою ISAC за участю партнерів приватного сектору ISAC з комунікацій.

Завантажити

Текстова версія:

Аналіз загрози від розсіяного павука

Вступ

Члени Національної ради ISAC (NCI) з високою впевненістю оцінюють, що група зловмисників Scattered Spider становить реальну загрозу, а її здатність використовувати людські вразливості за допомогою соціальної інженерії робить цю групу значним ризиком для організацій.

Цей аналіз детально описує активність Розсіяного Павука на основі спостережуваних ним торгових операцій у різних секторах станом на травень 2025 року, надаючи:

🔹 Довідкова інформація про Scattered Spider, щоб фірми могли краще оцінити свою поверхню загроз

🔹 Технічні процедури та культурні практики для запобігання атакам Розсіяного Павука

🔹 Аналіз розвідувальних даних членів Центру обміну та аналізу інформації (ISAC) та ФБР, а також відповідні дані MITRE ATT&CK® пом'якшення

Згідно з експертною оцінкою розвідувальних даних, рекомендовані заходи виявилися ефективними проти Scattered Spider та подібних загроз. Заходи пом'якшення включають базові вимоги FS-ISAC. основи кібербезпеки, що відповідає тактикам, технікам та процедурам Розсіяного Павука (TTP) на основі відомих загроз.

Однак, такі кіберзлочинці, як Scattered Spider, постійно впроваджують інновації, тому організації повинні ретельно стежити за своїми процесами та ідентифікаторами, щоб виявляти нові експлойти.

Ці висновки були підготовлені спільно комітетами ISAC з фінансових послуг, інформаційних технологій, продовольства та сільського господарства, охорони здоров'я, авіації, автомобільної промисловості, роздрібної торгівлі та готельного бізнесу, а також морської транспортної системи та NCI. NCI складається з 28 організацій і розроблена для максимізації потоку інформації між критичними інфраструктурами приватного сектору та державними установами.

Передумови та ТТП

Scattered Spider — це фінансово, а не ідеологічно мотивована група молодих незалежних операторів у Великій Британії, США та Канаді. За даними дослідників, Scattered Spider є частиною більшої хакерської спільноти, відомої як The Community або The Com, яка організовується через онлайн-платформи, включаючи групові чати Discord та Telegram. Scattered Spider використовує високоефективні методи соціальної інженерії та крадіжку облікових даних для отримання доступу до цільових мереж, а потім монетизує свої атаки за допомогою крадіжки даних, вимагання або операцій з використанням партнерських програм-вимагачів. Група відома своєю масштабною розвідкою, яка визначає персонажів для усиновлення або співробітників для атаки. Значна частина успіху Scattered Spider пояснюється її швидкістю та невимушеним, адаптивним таргетуванням.

*****

Бічна панель:

Зловмисники часто беруть участь у дзвінках та телеконференціях щодо усунення наслідків інцидентів та реагування на них, ймовірно, щоб визначити, як команди безпеки їх полюють, та проактивно розробляти нові шляхи вторгнення у відповідь на захист жертви. Іноді це досягається шляхом створення нових ідентичностей у середовищі та часто підтримується фальшивими профілями в соціальних мережах для блокування новостворених ідентичностей. Консультація з кібербезпеки: Розсіяний павук – спільна консультативна робота Федерального бюро розслідувань (ФБР) та Агентства з кібербезпеки та безпеки інфраструктури (CISA)

*****

Активна з початку 2022 року, Scattered Spider спочатку була помічена як атакована на телекомунікаційні та бізнес-процесні (BPO) організації, ймовірно, як трамплін для операцій соціальної інженерії для отримання несанкціонованого доступу до інших цілей та їхніх зацікавлених сторін. Відтоді групу пов'язують з понад 100 атаками на різних ринкових вертикалях, але вона, як правило, націлена на один сектор за раз. Scattered Spider сумнозвісна через компрометацію Caesars Entertainment та MGM Resorts у 2023 році, а також атаку на Twilio у 2022 році, яка призвела до атаки на ланцюг поставок, що вплинула на месенджер Signal. У квітні та травні 2025 року вона була спрямована на роздрібних торговців у США та Великій Британії, а потім переключила свою увагу на фінансовий сектор, зокрема страхові компанії, та авіаційний сектор.

  1. Початковий доступ отримано через:

    >Атаки соціальної інженерії

    >Напади втоми від MFA

  2. Отримує права адміністратора шляхом:

    • Демпінг облікових даних
    • Збережені облікові дані та секрети

 

3. Стійкість, отримана шляхом:

>Заплановані завдання

>Шкідливі сервіси

>Створення локального користувача

>Механізми хмарної стійкості

 

4. Ухилення від захисту завдяки:

>Вимкнення AV/EDR

Зміна об'єктів групової політики Windows

>Вимкнення Defender, ведення журналу або телеметрії

>Видалення драйверів EDR

5. Бічний рух через:

>PsExec

>Віддалена взаємодія PowerShell

>WMI

>Легальні VPN або Citrix-з’єднання

 

Типова тактика полягає в тому, щоб переконати агентів служби підтримки ІТ виконувати самостійне скидання паролів (SSPR) для цільових облікових записів. Методи Scattered Spider включають використання повідомлення служби коротких повідомлень (SMS), тобто текстові повідомлення, та голосовий фішинг (смішинг та вішинг) для отримання облікових даних для панелей керування єдиним входом (SSO), Microsoft Office 365/Azure, VPN та периферійних пристроїв.

Також відомо, що ця група захоплює багатофакторну автентифікацію (MFA) шляхом заміни модуля ідентифікації абонента (SIM-картки). Потім вона долає MFA через втому від сповіщень або переконує агентів служби підтримки скинути метод MFA цільових облікових записів.

Після успішного злому облікового запису користувача, оперативники Scattered Spider реєструють інші пристрої під цим обліковим записом. Коли вони можуть отримати адміністративні права, вони створюють облікові записи, контрольовані зловмисником, у середовищі жертви. Потім зловмисник встановлює стійкість для несанкціонованого доступу до середовища жертви та створює резервування, щоб запобігти спробам видалення шкідливого програмного забезпечення або доступу.

Подальша розвідувальна діяльність включає спроби виявлення корпоративних платформ, зокрема Windows, Linux, Google Workspace, Microsoft Entra ID (раніше Azure Active Directory), Microsoft 365, AWS та інших інструментів, розміщених у хмарній інфраструктурі, а також подальше завантаження відповідних інструментів для вилучення конфіденційних даних.

*****

Бічна панель:

Health-ISAC отримала розвідувальні дані, що пов'язують ботнет Amadey з атаками Scattered Spider. Ботнет Amadey використовувався такими зловмисниками, як BlackSuit, BlackBasta та Akira, для розміщення завантажувачів шкідливих програм у мережі жертв. Ботнет уникав дій правоохоронних органів проти платформ шкідливого програмного забезпечення як послуги (MaaS), що дозволило йому розвиватися з 2018 року.

*****

Таке глибоке розуміння власної інфраструктури жертви дозволяє Scattered Spider виконувати подальші злочинні дії. Саме завдяки цьому глибокому розумінню, наприклад, здатності використовувати методи «живи за рахунок землі», група може уникати стандартних методів виявлення. Група зловмисників також може розгортати шкідливе програмне забезпечення, яке розміщує шкідливі підписані драйвери, призначені для завершення процесів, пов'язаних із програмним забезпеченням безпеки, та видалення файлів.

Scattered Spider використовує нещодавно зареєстровані та дуже переконливі фішингові доменні імена, що імітують легітимні портали входу, особливо сторінки автентифікації Okta. Ці домени мають короткий термін служби або час безперебійної роботи, що ускладнює їх виявлення.

З 2023 року було помічено, що Scattered Spider використовує п'ять різних фішингових комплектів, оскільки стратегії розгортання групи еволюціонували та почали включати провайдерів динамічного DNS. Крім того, група включила троян віддаленого доступу (RAT) Spectre до свого ланцюжка атак для розгортання шкідливого програмного забезпечення на скомпрометованих системах з метою отримання постійного доступу. Це шкідливе програмне забезпечення містить механізми для віддаленого видалення та посередництва в підключенні до додаткових серверів командування та управління (C2), що свідчить про те, що група може використовувати інфраструктуру C2 для проведення дій після експлуатації в мережах жертв.

*****

Бічна панель:

Відомі доменні імена, що використовуються Scattered Spider

  • targetsname-sso[.]com
  • targetsname-servicedesk[.]com
  • targetsname-okta[.]com
  • targetsname-cms[.]com
  • targetsname-helpdesk[.]com
  • oktalogin-targetcompany[.]com

Розсіяний павук Консультації з кібербезпеки підготовлено спільно ФБР, CISA, Королівською канадською кінною поліцією, Австралійським центром кібербезпеки Директорату зв'язків Австралії, Австралійською федеральною поліцією, Канадським центром кібербезпеки та Національним центром кібербезпеки Сполученого Королівства

*****

Рекомендації

Наведені нижче рекомендації виявилися ефективними для членів ISAC. Багато з них взяті з рекомендацій FS-ISAC. основи кібербезпеки, підхід до глибоко поглибленого захисту, що базується на оцінці ризиків, що відповідає базовим вимогам кібербезпеки, що застосовується до організацій на будь-якому рівні кіберзрілості.

Використовуйте багатоканальний процес верифікації — Жодна організація не повинна покладатися на єдиний канал зв’язку для зміни паролів співробітників або запитів на скидання багатофакторних аварій (MFA). Деякі фірми можуть скористатися перевагами використання заздалегідь визначеного списку запитань, на які може відповісти лише співробітник, для ініціювання скидання паролів та MFA. А ІТ-співробітники завжди повинні мати право оскаржити запит на перевірку будь-якого іншого співробітника.

Етапи дій:

  • ІТ-відділ повинен використовувати багатоканальну верифікацію, включаючи:
  • Перевірка запитів, надісланих електронною поштою, текстовим повідомленням або телефоном, із зворотним дзвінком на попередньо зареєстрований та надійний номер телефону
  • Статичні PIN-коди на фізичному бейджі
  • Візуальна перевірка
  • Використовуйте голосовий пароль, відомий лише співробітникам, або набір відповідей на запитання, які нелегко вгадати, наприклад: «Яке дівоче прізвище вашої матері? Коли ви почали працювати? Який реєстраційний номер вашого робочого ноутбука?»

Вимагайте від двох співробітників схвалення певних типів запитів, таких як великі фінансові перекази, або запитів від співробітників з високим рівнем привілеїв.

  • Зверніться до керівника працівника, коли працівник запитує скидання облікових даних та багатофакторної автентифікації (MFA)..
  • Створіть культуру, в якій від ІТ-персоналу очікується та має право ставити під сумнів будь-які незвичайні або дуже конфіденційні запити, навіть від керівників, без страху наслідків.

 

Зосередьтеся на тактиці соціальної інженерії — Scattered Spider покладається на експлойти соціальної інженерії та дуже креативно використовує фішинг, вішинг та смішинг. Група зловмисників часто вселяє відчуття терміновості у свої приманки та полює на страхах, емпатії та повазі жертв до влади. Включіть ці TTP у симуляції та перевірте реакцію співробітників на них.

Етапи дій:
  • Впроваджуйте постійні обов'язкові тренінги з безпеки та симуляції фішингу з поширеними та актуальними приманками.
  • Адаптуйте навчання до ролі — ІТ-службі підтримки, представникам служби підтримки клієнтів, співробітникам відділу кадрів та керівникам вищої ланки може знадобитися більш детальне та спеціалізоване навчання щодо тактик зловмисників та поточних кампаній.
  • Навчіть представників служби підтримки клієнтів процедурам служби підтримки. Наприклад, наголосіть, що їхня служба підтримки ніколи не проситиме співробітника встановлювати програмне забезпечення для віддаленої допомоги або обходити будь-які засоби контролю безпеки.
  • Використовуйте мінімальні привілеї, щоб співробітники, зокрема представники служби підтримки клієнтів, вимагали додаткової перевірки від кінцевого користувача, перш ніж надавати ширший доступ.

 

Перевірте профілі адміністраторів у соціальних мережах, зокрема адміністраторів хмарних сервісів Профілі та публікації адміністраторів у соціальних мережах можуть ненавмисно відображати інформацію, пов’язану з роботою, тобто обов’язки, історію роботи, колег, розпорядок дня, яку зловмисники використовують для адаптації атак (наприклад, використовуючи маршрути подорожей для встановлення достовірності або терміновості у кампанії з викрадання). Хмарні адміністратори є особливими цілями. Отримання їхніх прав доступу надасть зловмисникам доступ до цінних хмарних ресурсів та контроль над ними, а також можливість завдати значної шкоди. Фірми повинні запровадити політику щодо соціальних мереж, яка описує інформацію, яку використовують зловмисники, та забороняє таку інформацію в публікаціях у соціальних мережах. Регулярно перевіряйте соціальні мережі адміністраторів, особливо публікації хмарних адміністраторів, на відповідність політиці щодо соціальних мереж.

Етапи дій:
  • Розробіть та забезпечте дотримання детальних правил доступу до соціальних мереж, які пояснюють типи інформації, яку дозволено публікувати, а яку ні.
  • Проводити аудити для забезпечення відповідності.
  • Проведіть навчання щодо ризиків, пов’язаних із розголошенням конфіденційної професійної інформації.

 

Оцінка прав доступу до служби підтримки - Права служби підтримки можуть з часом змінюватися, іноді надаючи привілеї всім консолям адміністратора, таким як потік пошти, засоби контролю безпеки тощо. Аудит прав доступу до служби підтримки забезпечує відповідність операційним потребам, одночасно запобігаючи несанкціонованому доступу, яким можуть скористатися такі зловмисники, як Scattered Spider. Автоматизовані системи управління посилюють нагляд.

Етапи дій:
  • Впровадити автоматизовані системи для постійного моніторингу та налаштування прав доступу.
  • Плануйте регулярні перевірки доступу, щоб забезпечити його відповідність посадовим функціям.

Моніторинг віртуальних машин у хмарних середовищах – Впроваджуйте інструменти моніторингу для сповіщень про несанкціоновану діяльність віртуальних машин (ВМ), таку як підозрілі служби, аномальне використання ресурсів та спроби підвищення привілеїв, з протоколами для швидкої ізоляції та завершення роботи підозрілих ВМ. Ця можливість швидкого реагування має вирішальне значення для виявлення підозрілої активності, запобігання потенційним порушенням та зменшення загроз.

Етапи дій:
  • Розробіть список дозволених видів діяльності.
  • Розгорніть системи моніторингу та оповіщення та знайдіть у них прогалини.
  • Встановіть протоколи швидкого реагування на несанкціоновані дії.
  • Позбудьтеся непотрібних інструментів RMM та впровадьте honeytoken-и навколо використання інструментів RMM для раннього виявлення та визначення відбитків пальців.
  • Налаштуйте браузери та завдання для регулярного видалення постійних файлів cookie.
  • Мінімізуйте час дії веб-файлів cookie — Scattered Spider використовує їх для встановлення постійного доступу та вилучення даних.

 

Перегляд елементів керування безпекою інфраструктури віртуальних робочих столів - Забезпечте безпеку середовищ інфраструктури віртуальних робочих столів (VDI) за допомогою MFA та постійно відстежуйте діяльність користувачів.

Етапи дій:
  • Перегляньте список користувачів VDI, щоб переконатися, що він актуальний.
  • Забезпечити виконання багатосторонніх фінанцій.
  • Не дозволяйте особистим пристроям мати прямий доступ до Office 365, Enterprise Google Workspace, корпоративних VPN тощо.
  • Вимагайте багатофакторну автентифікацію (MFA), стійку до фішингу, таку як YubiKeys, Windows Hello for Business тощо. Не довіряйте користувачам схвалювати запити MFA або видавати коди.
  • Якщо організація має VDI, що дозволяє доступ третім сторонам, переконайтеся, що ці VDI не мають доступу до Secure Shells (SSH) або протоколів віддаленого робочого столу (RDP), а також не мають доступу до веб-сайтів, які не потрібні користувачеві для виконання його роботи.
  • Проводьте регулярні аудити та моніторинг усіх сеансів користувачів у режимі реального часу.
  • Підтвердіть відсутність багатофакторних аварійних запитів через SMS у жодних додатках, зокрема додатках постачальників. Багатостороння аварійна допомога (MFA) на основі SMS може створювати значні ризики, оскільки:
      • SMS-повідомлення можуть бути перехоплені, оскільки вони не зашифровані
      • Зловмисники можуть обійти багатофакторну автентифікацію (MFA) за допомогою соціальної інженерії.
      • Зловмисники можуть отримати контроль над номером телефону, перехоплювати SMS-повідомлення та отримувати несанкціонований доступ шляхом заміни SIM-картки.
      • Збої можуть перешкоджати користувачам отримувати коди автентифікації

 

Визначення точок доступу та блокування доступу з високим рівнем ризику – Багато організацій повинні надавати співробітникам, регуляторним органам, стороннім постачальникам та іншим особам доступ до своєї цифрової інфраструктури. Захистіть усі точки входу, особливо ті, що пов’язані з високим рівнем ризику, за допомогою засобів контролю або блокування та вважайте, що всі постачальники керованих послуг скомпрометовані.

Етапи дій:
  • Не надавайте третім особам необмежений доступ до корпоративної мережі.
  • Замініть VPN-мережі типу «сайт-сайт» на віртуальні діджитал-інтерфейси (VDI), використовуючи стійку до фішингу багатофакторну автентифікацію (MFA) та принцип нульової довіри, де це можливо.
  • Виявляти та блокувати новостворені домени, які виглядають як потенційні фішингові сайти (наприклад, доменні імена з помилковою друкарською версією).
  • Блокувати запуск будь-яких виконуваних файлів RAT на керованих пристроях.
  • Блокуйте вебсайти всіх відомих комерційних інструментів віддаленої допомоги.
  • Впроваджуйте географічне блокування, де це можливо.
  • Блокуйте комерційні VPN, що підключаються до корпоративного VPN або VDI, за допомогою сервісу, такого як ip2proxy або Spur.
  • Блокуйте типи пристроїв у VPN, якщо вони не використовуються представниками служби підтримки клієнтів. (Зловмисники часто використовували пристрої Android x86.)

 

Дозволи на аудит, надані відділу кадрів - Суворе узгодження дозволів відділу кадрів з операційними потребами захищає конфіденційні дані співробітників та фінансові дані.

Етапи дій:
  • Проведіть комплексний аудит дозволів доступу відділу кадрів.
  • Перегляньте права доступу постачальників та постачальників послуг.
  • Навчати персонал відділу кадрів щодо ризиків кібербезпеки та належного поводження з даними.

 

Утиліти для переміщення даних дослідження в SaaS-додатках - Моніторинг та відстеження переміщення даних у системах SaaS (програмне забезпечення як послуга) (наприклад, Salesforce або ServiceNow) є критично важливим, оскільки SaaS-додатки часто мають (сторонні) утиліти переміщення даних, доступні для різних цілей, і можуть містити конфіденційну інформацію.

Етапи дій:
  • Інтегруйте моніторинг утиліти переміщення даних у дані журналу.
  • Налаштуйте автоматичні сповіщення та елементи керування для незвичайної активності з даними.

 

Перегляд довірених IP-адрес, звільнених від багатофакторної автентифікації (MFA) - Організації можуть послабити вимоги багатофакторної автентифікації (MFA) щодо запитів від довіреної мережі, такої як VPN, офісна мережа тощо. Мінімізація цих винятків MFA посилює контроль доступу до мережі, що є важливим кроком у захисті фінансових та конфіденційних даних.

Етапи дій:
  • Переоцініть та оновіть список довірених IP-адрес у середовищі.
  • Замініть статичні білі списки IP-адрес динамічними політиками умовного доступу.

 

Розпізнайте внутрішню загрозу, яку створюють представники служби підтримки клієнтів — Розсіяний павук часто отримує початковий доступ до бізнес-систем, обманюючи представників служби підтримки клієнтів, але він також вербує їх. Регулярно перевіряйте систему на наявність потенційно шкідливої активності.

Етапи дій:
  • Перевіряйте діяльність представників служби підтримки клієнтів на наявність ознак потенційного компрометування, таких як:
    • Велика кількість скидань пароля або переглядів облікового запису за короткий проміжок часу
    • Доступ до облікових записів клієнтів без зіставлення кроків перевірки (наприклад, введення PIN-коду клієнта, зіставлення з ANI тощо)
    • «Жонглювання обліковими даними», тобто вхід у VPN з використанням облікових даних, відмінних від тих, що використовуються для доступу до інструментів CSR
  • Шукайте спроби вербування в текстових журналах чату/електронної пошти за допомогою пошукових запитів, що містять поширені терміни, що використовуються в рекламних пропозиціях, такі як «Telegram», «Wickr» або «Get rich».
  • Запровадьте обмежений за часом доступ для представників служби підтримки клієнтів до облікових даних та VPN, а також сповіщайте про будь-які входи поза межами звичайних робочих годин агентів.

 

Тактика та пом'якшення наслідків розсіяного павука

У наступній таблиці наведено аналіз експертів ISAC з кібербезпеки розвідувальних даних, якими поділилися тисячі організацій-членів. Багато тактик були виявлені ФБР під час розслідувань Scattered Spider, які викладені у спільному Консультації CISA та ФБР щодо кібербезпеки Scattered SpiderЗаходи MITRE ATT&CK щодо пом'якшення наслідків атаки та злочинності (TTP) базуються на реальних спостереженнях організації.

ДИВІТЬСЯ У PDF-ФАЙЛІ ВИЩЕ.

 

 

  • Пов’язані ресурси та новини
Сектор охорони здоров'я може зіткнутися з побічними кібератаками на тлі конфлікту в Україні: Звіт
Кіберперехресний вогонь: чому охорона здоров'я стає полем битви у глобальних конфліктах