Украсть всё из OneDrive и не подать виду. Мастер-класс по социальной инженерии от ShinyHunters
NewsMakerУведомления о вторжении стираются раньше, чем их успевают прочитать.
Компания Mandiant сообщила о расширении серии атак, связанных с вымогательскими операциями под брендом ShinyHunters. Новая волна инцидентов показывает, что злоумышленники всё активнее используют телефонный фишинг и поддельные страницы входа, чтобы получать доступ к корпоративным облачным сервисам и похищать данные для последующего давления на организации.
По данным отчёта, атакующие выдают себя за сотрудников ИТ-подразделений и звонят работникам компаний под предлогом изменения настроек многофакторной аутентификации. Во время разговора жертв направляют на сайты, внешне копирующие внутренние порталы входа. Там собираются учётные данные единого входа и одноразовые коды подтверждения. После этого злоумышленники регистрируют собственные устройства в системе подтверждения входа и закрепляются в инфраструктуре. Схема схожа с зафиксированными ранее фишинговыми атаками на облачные среды Microsoft 365.
Активность отслеживается сразу по нескольким кластерам под обозначениями UNC6661, UNC6671 и UNC6240. Аналитики группы Google по анализу угроз отмечают, что методы совпадают с прежними операциями ShinyHunters , однако перечень целевых облачных платформ заметно вырос. Преступники стремятся получить как можно больше внутренней переписки и служебных документов для последующего вымогательства. В ряде случаев фиксировались попытки давления на сотрудников пострадавших организаций.
Отдельно подчёркивается, что речь не идёт об уязвимостях в продуктах поставщиков. Основной фактор успеха атак — социальная инженерия. В качестве более устойчивой меры защиты названы методы аутентификации, не подверженные фишингу, включая аппаратные ключи и passkey: в отличие от стандартной многофакторной аутентификации , они не позволяют подтвердить вход по коду из сообщения или push-запросу.
Компания Mandiant сообщила о расширении серии атак, связанных с вымогательскими операциями под брендом ShinyHunters. Новая волна инцидентов показывает, что злоумышленники всё активнее используют телефонный фишинг и поддельные страницы входа, чтобы получать доступ к корпоративным облачным сервисам и похищать данные для последующего давления на организации.
По данным отчёта, атакующие выдают себя за сотрудников ИТ-подразделений и звонят работникам компаний под предлогом изменения настроек многофакторной аутентификации. Во время разговора жертв направляют на сайты, внешне копирующие внутренние порталы входа. Там собираются учётные данные единого входа и одноразовые коды подтверждения. После этого злоумышленники регистрируют собственные устройства в системе подтверждения входа и закрепляются в инфраструктуре. Схема схожа с зафиксированными ранее фишинговыми атаками на облачные среды Microsoft 365.
Активность отслеживается сразу по нескольким кластерам под обозначениями UNC6661, UNC6671 и UNC6240. Аналитики группы Google по анализу угроз отмечают, что методы совпадают с прежними операциями ShinyHunters , однако перечень целевых облачных платформ заметно вырос. Преступники стремятся получить как можно больше внутренней переписки и служебных документов для последующего вымогательства. В ряде случаев фиксировались попытки давления на сотрудников пострадавших организаций.
Отдельно подчёркивается, что речь не идёт об уязвимостях в продуктах поставщиков. Основной фактор успеха атак — социальная инженерия. В качестве более устойчивой меры защиты названы методы аутентификации, не подверженные фишингу, включая аппаратные ключи и passkey: в отличие от стандартной многофакторной аутентификации , они не позволяют подтвердить вход по коду из сообщения или push-запросу.