- 19,420
- 40
- 8 Ноя 2022
Им не нужны вирусы — достаточно уверенного тона и хитрости.
Группировка Scattered Spider усилила атаки на корпоративные IT-среды, сосредоточив усилия на гипервизорах Для просмотра ссылки Войдиили Зарегистрируйся в американских компаниях из розничной, транспортной и страховой отраслей. Эти атаки не используют традиционные уязвимости в программном обеспечении — вместо этого злоумышленники демонстрируют безупречное владение приёмами Для просмотра ссылки Войди или Зарегистрируйся , позволяющими обходить даже самые защищённые системы.
Для просмотра ссылки Войдиили Зарегистрируйся Google Threat Intelligence Group, начальная фаза атаки строится на имитации сотрудника компании в разговоре с IT-службой поддержки. Злоумышленник добивается смены пароля пользователя в Active Direc<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">tor</span>y и тем самым получает начальный доступ к внутренней сети. После этого начинается поиск ценной технической документации и ключевых учётных записей — прежде всего администраторов доменов и среды VMware vSphere, а также участников групп с расширенными правами.
Параллельно с этим производится сканирование на предмет наличия решений класса PAM (Privileged Access Management), способных содержать чувствительные данные и помочь при дальнейшем продвижении по инфраструктуре. Получив имена привилегированных пользователей, злоумышленники совершают повторные звонки, уже представляясь администраторами, и снова инициируют сброс пароля, но теперь для захвата привилегированного доступа.
Следующий этап — получение контроля над сервером управления виртуальной средой VMware vCenter (vCSA), который управляет всей архитектурой ESXi и виртуальными машинами на физических хостах. Получив такой уровень доступа, злоумышленники активируют SSH на ESXi-хостах, сбрасывают пароли root-пользователей и переходят к проведению так называемой атаки с подменой виртуального диска.
Эта техника заключается в отключении контроллера домена, отсоединении его виртуального диска и подключении его к другой, подконтрольной виртуальной машине. Там хакеры копируют файл NTDS.dit — базу данных Active Directory с хешами паролей — после чего возвращают диск обратно и включают исходную машину. Такой подход позволяет извлечь критически важные данные, не вызывая подозрений на уровне событий ОС.
Имея полный контроль над виртуализацией, злоумышленники также получают доступ к системам резервного копирования. Они очищают расписания, удаляют снимки и уничтожают сами хранилища резервных копий. Финальная стадия атаки — развёртывание шифровальщиков через SSH-подключения на всех обнаруженных в хранилищах виртуальных машинах. Результатом становится массовое шифрование данных и полная потеря управления со стороны организации.
Google описывает архитектуру атаки в пять фаз: от социальной инженерии до захвата всей инфраструктуры ESXi. На практике вся цепочка от первого звонка в поддержку до развёртывания шифровальщика может занять всего несколько часов. Примечательно, что в этих атаках не используются эксплойты уязвимостей, но их эффективность столь высока, что хакеры обходят большинство встроенных средств защиты.
Подобный подход уже применялся Scattered Spider во время Для просмотра ссылки Войдиили Зарегистрируйся с MGM Resorts в 2023 году. Сегодня всё больше группировок перенимают такую тактику. Одной из причин является слабое понимание VMware-инфраструктур многими организациями и, как следствие, недостаточный уровень их защиты.
Чтобы снизить риск, Google опубликовала технические рекомендации, сводящиеся к трём основным направлениям:
или Зарегистрируйся . Её отличает способность к тонкой социальной мимикрии: злоумышленники не просто копируют речевые паттерны сотрудников, но и воспроизводят их произношение, словарный запас и манеру общения. Несмотря на Для просмотра ссылки Войди или Зарегистрируйся четырёх предполагаемых участников в Великобритании, активность группы не прекратилась. Более того, в последние месяцы её атаки стали всё более дерзкими и масштабными.
Группировка Scattered Spider усилила атаки на корпоративные IT-среды, сосредоточив усилия на гипервизорах Для просмотра ссылки Войди
Для просмотра ссылки Войди
Параллельно с этим производится сканирование на предмет наличия решений класса PAM (Privileged Access Management), способных содержать чувствительные данные и помочь при дальнейшем продвижении по инфраструктуре. Получив имена привилегированных пользователей, злоумышленники совершают повторные звонки, уже представляясь администраторами, и снова инициируют сброс пароля, но теперь для захвата привилегированного доступа.
Следующий этап — получение контроля над сервером управления виртуальной средой VMware vCenter (vCSA), который управляет всей архитектурой ESXi и виртуальными машинами на физических хостах. Получив такой уровень доступа, злоумышленники активируют SSH на ESXi-хостах, сбрасывают пароли root-пользователей и переходят к проведению так называемой атаки с подменой виртуального диска.
Эта техника заключается в отключении контроллера домена, отсоединении его виртуального диска и подключении его к другой, подконтрольной виртуальной машине. Там хакеры копируют файл NTDS.dit — базу данных Active Directory с хешами паролей — после чего возвращают диск обратно и включают исходную машину. Такой подход позволяет извлечь критически важные данные, не вызывая подозрений на уровне событий ОС.
Имея полный контроль над виртуализацией, злоумышленники также получают доступ к системам резервного копирования. Они очищают расписания, удаляют снимки и уничтожают сами хранилища резервных копий. Финальная стадия атаки — развёртывание шифровальщиков через SSH-подключения на всех обнаруженных в хранилищах виртуальных машинах. Результатом становится массовое шифрование данных и полная потеря управления со стороны организации.
Google описывает архитектуру атаки в пять фаз: от социальной инженерии до захвата всей инфраструктуры ESXi. На практике вся цепочка от первого звонка в поддержку до развёртывания шифровальщика может занять всего несколько часов. Примечательно, что в этих атаках не используются эксплойты уязвимостей, но их эффективность столь высока, что хакеры обходят большинство встроенных средств защиты.
Подобный подход уже применялся Scattered Spider во время Для просмотра ссылки Войди
Чтобы снизить риск, Google опубликовала технические рекомендации, сводящиеся к трём основным направлениям:
- Первое — усиление защиты vSphere: включение опции execInstalledOnly, шифрование виртуальных машин, отключение SSH, удаление «осиротевших» VM и жёсткое применение многофакторной аутентификации.
- Второе — изоляция критически важных активов: контроллеров домена, PAM-систем и резервных хранилищ. Они не должны размещаться на тех же узлах, что и инфраструктура, которую они защищают.
- Третье — мониторинг: организация централизованного логирования, настройка оповещений на подозрительные действия (например, включение SSH, вход в vCenter, изменение групп администраторов), а также использование неизменяемых бэкапов с воздушным зазором и регулярное тестирование восстановления после атак на систему виртуализации.
- Источник новости
- www.securitylab.ru
