Известная группа вымогателей ShinyHunters опубликовала десятки гигабайт файлов, которые, как утверждается, были похищены из приложений для знакомств Hinge, Match, OkCupid и Bumble. Хотя официального подтверждения способа взлома пока нет, эксперты считают, что действия группы связаны с недавним предупреждением Okta о росте числа голосовых атак социальной инженерии, поддерживаемых автоматизированными фишинговыми наборами.
Последняя утечка данных затронула сервисы знакомств спустя непродолжительное время после публикации украденных файлов из SoundCloud, CrunchBase, Betterment, CarMax, Edmunds.com и Panera Bread, что указывает на возможное расширение списка жертв.
Действуя с 2020 года, ShinyHunters, также известная как UNC6040, похитила данные множества крупных брендов и организаций. Основная тактика группы — подмена сотрудников ИТ-служб с целью компрометации учётных записей работников.
В сентябре прошлого года кибербезопасностные компании сообщили, что ShinyHunters объединилась с двумя другими известными хакерскими группами — LAPSUS$ и Scattered Spider. Современные утечки, вероятно, стали результатом масштабной волны атак, инициированной новым объединением.
Компания Silent Push обнаружила новую фишинговую инфраструктуру, соответствующую тактикам, методам и процедурам (TTP) SLSH (Scattered LAPSUS$ Hunters), нацеленную за последний месяц более чем на 100 высокозащищённых организаций. Инфраструктура включает «панель живого фишинга», позволяющую злоумышленникам в реальном времени проводить атаки типа man-in-the-middle, перехватывая учётные данные и токены многофакторной аутентификации (MFA) для платформ единого входа (SSO), включая Okta.
«Мы в курсе заявлений в интернете, касающихся недавнего выявленного инцидента безопасности», — сообщил представитель Match Group в интервью CSO. «Match Group серьёзно относится к безопасности пользователей и оперативно пресекла несанкционированный доступ».
«Мы продолжаем расследование при поддержке внешних экспертов по кибербезопасности, — добавили в компании. — Нет признаков того, что были скомпрометированы данные для входа, финансовая информация или личные сообщения. По нашим оценкам, инцидент затронул ограниченный объём пользовательских данных, и мы уже начали уведомлять пострадавших лиц».
Представители Bumble и Panera Bread не ответили на запросы о комментариях.
Фишинговые наборы для голосовых атак
На прошлой неделе Okta предупредила о росте числа атак на учётные записи Okta, Microsoft и Google с использованием коммерческих фишинговых наборов, специально разработанных для повышения эффективности голосовых атак социальной инженерии.
Фишинговые наборы — это автоматизированные инструменты, скрипты и шаблоны сайтов, позволяющие киберпреступникам создавать поддельные страницы и перехватывать учётные данные. Однако при использовании MFA эффективность таких инструментов снижается, так как злоумышленник не знает, какой тип MFA включён у жертвы: код из мобильного приложения, SMS или push-уведомление, которое нужно подтвердить нажатием.
Комбинируя фишинг с голосовыми вызовами, или вишингом, атакующие могут в реальном времени тестировать введённые данные на настоящем сайте, определять тип MFA и динамически адаптировать фишинговую страницу под ответ.
«Такая оркестровка сессий в реальном времени даёт социальному инженеру новый уровень контроля и видимости, — отметили исследователи Okta. — Например, если пользователь получает push-уведомление, атакующий может устно сообщить, что ожидается уведомление, и через панель управления C2 направить браузер на страницу с сообщением о его отправке, делая поддельный запрос более правдоподобным».
Такие гибридные атаки способны обойти даже передовые методы MFA, использующие push-уведомления с вводом на сайте числа, сгенерированного легитимным сервисом. При автоматизированном фишинге это не работает — пользователь не знает, какое число вводить. Однако атакующий по телефону может продиктовать его или мгновенно изменить фишинговую страницу, чтобы отобразить нужное значение.
Алон Гал, технический директор компании по киберразведке Hudson Rock, сообщил изданию CSO, что описанные Okta вишинг-техники совпадают с известными TTP ShinyHunters: подмена ИТ-поддержки, обход MFA в реальном времени, кража учётных данных и токенов сессий, экстракция данных из SaaS-систем.
Он также отметил, что проверил утечённые данные и подтвердил их соответствие заявленным компаниям-жертвам — что соответствует предыдущим случаям публикаций ShinyHunters.
Меры защиты
В отчёте Okta содержатся ссылки на предыдущие предупреждения с указанием индикаторов компрометации и TTP злоумышленников, атакующих входы SSO. Тем временем Silent Push рекомендует организациям информировать сотрудников о текущих атаках ShinyHunters, чтобы те оставались бдительными при получении звонков от якобы ИТ-поддержки.
Компаниям следует требовать от сотрудников проверять звонки ИТ-службы через официальные аут-оф-банд каналы и регулярно анализировать логи поставщиков систем операционной поддержки (OSS) на предмет событий, указывающих на регистрацию новых устройств с последующим входом с новых IP-адресов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
