Mandiant раскрывает детали злоупотребления ShinyHunters «SSO» для похищения данных в облаке

кибератаки шинихантерс вредоносный софт защита данных фишинг Mfa-аутентификация

Компания Mandiant сообщает о новой волне атак ShinyHunters по хищению данных из SaaS-приложений с использованием голосового фишинга и фишинговых сайтов, имитирующих корпоративные ресурсы. Злоумышленники крадут учетные данные SSO и коды MFA, получая доступ к облачным сервисам. Подробности об атаках, методах и мерах защиты.

Компания Mandiant сообщает, что новая волна атак ShinyHunters по хищению данных из SaaS-приложений поддерживается целевыми голосовыми фишинговыми атаками (vishing) и фишинговыми сайтами, имитирующими корпоративные ресурсы, которые крадут учетные данные единого входа (SSO) и коды многофакторной аутентификации (MFA).

Как впервые сообщил BleepingComputer, злоумышленники выдают себя за сотрудников IT-поддержки и технической службы компании, звоня сотрудникам напрямую и утверждая, что необходимо обновить настройки MFA. В ходе разговора жертву направляют на фишинговый сайт, стилизованный под корпоративный портал входа.

По данным Okta, эти сайты используют продвинутые фишинговые наборы, позволяющие злоумышленникам отображать интерактивные диалоги во время телефонного разговора с жертвой.

Продолжая разговор с сотрудником, атакующий в реальном времени передает похищенные учетные данные, инициирует настоящие запросы MFA и подсказывает жертве, как отреагировать: одобрить push-уведомление или ввести одноразовый код.

Это позволяет злоумышленникам успешно пройти аутентификацию с похищенными данными и зарегистрировать собственные устройства в MFA.

Получив доступ к аккаунту, они заходят в панель управления Okta, Microsoft Entra или Google SSO организации — централизованное хранилище всех SaaS-приложений, к которым у пользователя есть доступ.

Mandiant раскрывает детали злоупотребления ShinyHunters «SSO» для похищения данных в облаке

Среди таких приложений — Salesforce, главная цель атак ШиниХантерс, Microsoft 365, SharePoint, DocuSign, Slack, Atlassian, Dropbox, Google Drive и множество других внутренних и сторонних платформ.

Для злоумышленников, сосредоточенных на краже данных и вымогательстве, панель SSO становится пружиной для доступа к облачным данным компании, позволяя получить доступ к множеству сервисов с одного скомпрометированного аккаунта.

Группировка ШиниХантерс подтвердила BleepingComputer, что они и некоторые их партнеры стоят за этими атаками. Также вымогатели утверждают, что другие злоумышленники начали применять аналогичные методы.

Вскоре после публикации информации об атаках ШиниХантерс запустили сайт для утечки данных, начав публиковать информацию, связанную с этими инцидентами.

Сегодня группа Google Threat Intelligence Group/Mandiant опубликовала отчет, в котором отслеживает активность нескольких кластеров угроз: UNC6661, UNC6671 и UNC6240 (ШиниХантерс).

Несколько групп атакуют одновременно

Согласно Mandiant, UNC6661 выдает себя за сотрудников IT-поддержки и направляет жертв на фишинговые домены, стилизованные под корпоративные, чтобы перехватить учетные данные SSO и MFA. После входа злоумышленники регистрируют свои устройства MFA для сохранения доступа.

Этот доступ используется для кражи данных из облачных приложений в зависимости от прав, доступных через скомпрометированный сеанс SSO. Mandiant считает, что такая активность является ситуативной, и злоумышленники атакуют все доступные SaaS-приложения.

Однако стоит отметить, что ранее ШиниХантерс заявляли BleepingComputer, что их основной фокус — данные Salesforce.

Mandiant раскрывает детали злоупотребления ShinyHunters «SSO» для похищения данных в облаке

Mandiant привел примеры логов, созданных во время кражи данных:

  • События Microsoft 365 и SharePoint, в которых User-Agent указывает на PowerShell, что свидетельствует об использовании скриптов или инструментов для загрузки данных.
  • Активность входа в Salesforce с IP-адресов, позднее связанных с злоумышленниками.
  • Аудит-журналы DocuSign, показывающие массовую загрузку документов, связанных с теми же IOCs.

В одном из инцидентов с клиентом Okta Mandiant сообщил, что атакующие активировали надстройку Google Workspace под названием «ToogleBox Recall», которую использовали для поиска и удаления электронных писем с целью скрыть свою активность.

«В минимум одном случае, когда злоумышленник получил доступ к аккаунту клиента Okta, UNC6661 активировал надстройку ToogleBox Recall для аккаунта Google Workspace жертвы — инструмент, предназначенный для поиска и постоянного удаления электронных писем», объясняет Mandiant.

«Затем они удалили письмо Okta с темой «Добавлен новый метод безопасности», чтобы сотрудник не узнал, что к его аккаунту привязано новое устройство MFA».

Mandiant указывает, что домены, использованные в атаках UNC6661, были зарегистрированы через NICENIC и часто соответствовали формату <имякомпании>sso.com или <имякомпании>internal.com.

Хотя первоначальное проникновение и кражу данных связывают с UNC6661, Mandiant утверждает, что требования об оплате вымогательства отправляла ШиниХантерс (UNC6240), используя ID в мессенджере Tox, который применялся ранее.

Mandiant раскрывает детали злоупотребления ShinyHunters «SSO» для похищения данных в облаке

Mandiant отмечает, что другой кластер угроз — UNC6671 — использует схожие методы vishing, но регистрирует фишинговые домены через Tucows.

В отличие от UNC6661, требования UNC6671 не связывали с именем ШиниХантерс, использовали другой Tox ID для переговоров и применяли агрессивные методы давления, включая harassment сотрудников компании.

Домены, используемые в этих атаках, следуют распространенным шаблонам, имитирующим корпоративные порталы:

  • Корпоративные порталы SSO: <имякомпании>sso[.]com, my<имякомпании>sso[.]com, my-<имякомпании>sso[.]com
  • Внутренние порталы: <имякомпании>internal[.]com, www.<имякомпании>internal[.]com, my<имякомпании>internal[.]com
  • Тематика поддержки: <имякомпании>support[.]com, ticket-<имякомпании>[.]support, support-<имякомпании>[.]com
  • Имитация провайдеров идентификации: <имякомпании>okta[.]com, <имякомпании>azure[.]com, on<имякомпании>zendesk[.]com
  • Порталы доступа: <имякомпании>access[.]com, www.<имякомпании>access[.]com, my<имякомпании>acess[.]com

Например, домен matchinternal[.]com использовался в недавней утечке в Match Group, которая привела к раскрытию данных популярных сайтов знакомств Hinge, Tinder, OkCupid и Match.

Mandiant отмечает, что связанные с кампанией IP-адреса часто принадлежат коммерческим VPN-сервисам или сетям жилых прокси, таким как Mullvad, Oxylabs, NetNut, 9Proxy, Infatica и nsocks.

Также Mandiant рекомендует защитникам сосредоточиться на следующих методах обнаружения атак:

  • Компрометация аккаунта SSO, за которой следует быстрая утечка данных из SaaS-платформ.
  • User-Agent PowerShell, обращающийся к SharePoint или OneDrive.
  • Неожиданная авторизация ToogleBox Recall через OAuth Google Workspace.
  • Удаление уведомлений об изменениях в настройках MFA.

Для защиты организаций от подобных атак Mandiant опубликовал рекомендации по усилению безопасности, ведению журналов и обнаружению атак ШиниХантерс.

Эти рекомендации включают усиление процессов идентификации и сброса аутентификации, сбор соответствующих телеметрических данных и методы обнаружения активности после vishing, но до утечки данных.

Mandiant также предоставил правила для Google SecOps, чтобы выявлять активность ШиниХантерс.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: