Наследили и ушли. Как одна брошенная улика сорвала маску с «неуловимых» взломщиков
NewsMakerРассказываем, почему этот курьёзный провал стал самым ценным источником информации для ИБ-специалистов.
Специалисты подразделения Unit 42 компании Palo Alto Networks раскрыли детали атаки группы Muddled Libra, также известной под названиями Scattered Spider и UNC3944. Поводом стало расследование инцидента осенью 2025 года, в ходе которого внутри инфраструктуры пострадавшей организации обнаружили скрытую виртуальную машину злоумышленников. Её содержимое позволило восстановить рабочую схему действий группы и понять, как именно строится проникновение и развитие атаки.
По данным отчёта, нападавшие получили несанкционированный доступ к среде VMware vSphere и вскоре развернули собственную виртуальную машину, использовав её как опорную точку. Через неё велась разведка сети, загрузка утилит и закрепление присутствия через управляющий канал. Для расширения доступа применялись похищенные цифровые сертификаты и поддельные билеты аутентификации.
В течение первых часов атакующие остановили несколько контроллеров домена, подключили их диски и скопировали базы Active Directory вместе с системными ветками реестра. Эти данные были расшифрованы, после чего получены хэши учётных записей пользователей. Затем была запущена утилита ADRecon для подробного сбора сведений о домене, политиках, сервисах и учётных записях. Отдельное внимание уделялось сервисным идентификаторам, связанным с MSSQL, Exchange, Hyper-V и системами резервного копирования.
Для устойчивого доступа использовался туннель через инструмент Chisel, загруженный из облачного хранилища. Также применялись легитимные административные программы, включая PsExec и ADExplorer. Такой подход позволял действовать без сложного вредоносного кода и сливаться с обычной активностью администраторов.
Специалисты подразделения Unit 42 компании Palo Alto Networks раскрыли детали атаки группы Muddled Libra, также известной под названиями Scattered Spider и UNC3944. Поводом стало расследование инцидента осенью 2025 года, в ходе которого внутри инфраструктуры пострадавшей организации обнаружили скрытую виртуальную машину злоумышленников. Её содержимое позволило восстановить рабочую схему действий группы и понять, как именно строится проникновение и развитие атаки.
По данным отчёта, нападавшие получили несанкционированный доступ к среде VMware vSphere и вскоре развернули собственную виртуальную машину, использовав её как опорную точку. Через неё велась разведка сети, загрузка утилит и закрепление присутствия через управляющий канал. Для расширения доступа применялись похищенные цифровые сертификаты и поддельные билеты аутентификации.
В течение первых часов атакующие остановили несколько контроллеров домена, подключили их диски и скопировали базы Active Directory вместе с системными ветками реестра. Эти данные были расшифрованы, после чего получены хэши учётных записей пользователей. Затем была запущена утилита ADRecon для подробного сбора сведений о домене, политиках, сервисах и учётных записях. Отдельное внимание уделялось сервисным идентификаторам, связанным с MSSQL, Exchange, Hyper-V и системами резервного копирования.
Для устойчивого доступа использовался туннель через инструмент Chisel, загруженный из облачного хранилища. Также применялись легитимные административные программы, включая PsExec и ADExplorer. Такой подход позволял действовать без сложного вредоносного кода и сливаться с обычной активностью администраторов.