SecurityLab,
28 июля 2025 г.
Их оружие — голос. Хакеры взламывают компании с помощью звонков в IT-поддержку
187 просмотров
Группировка Scattered Spider усилила атаки на корпоративные IT-среды, сосредоточив усилия на гипервизорах VMware ESXi в американских компаниях из розничной, транспортной и страховой отраслей. Эти атаки не используют традиционные уязвимости в программном обеспечении — вместо этого злоумышленники демонстрируют безупречное владение приёмами социальной инженерии , позволяющими обходить даже самые защищённые системы.
По данным Google Threat Intelligence Group, начальная фаза атаки строится на имитации сотрудника компании в разговоре с IT-службой поддержки. Злоумышленник добивается смены пароля пользователя в Active Directory и тем самым получает начальный доступ к внутренней сети. После этого начинается поиск ценной технической документации и ключевых учётных записей — прежде всего администраторов доменов и среды VMware vSphere, а также участников групп с расширенными правами.
Параллельно с этим производится сканирование на предмет наличия решений класса PAM (Privileged Access Management), способных содержать чувствительные данные и помочь при дальнейшем продвижении по инфраструктуре. Получив имена привилегированных пользователей, злоумышленники совершают повторные звонки, уже представляясь администраторами, и снова инициируют сброс пароля, но теперь для захвата привилегированного доступа.
Следующий этап — получение контроля над сервером управления виртуальной средой VMware vCenter (vCSA), который управляет всей архитектурой ESXi и виртуальными машинами на физических хостах. Получив такой уровень доступа, злоумышленники активируют SSH на ESXi-хостах, сбрасывают пароли root-пользователей и переходят к проведению так называемой атаки с подменой виртуального диска.
Эта техника заключается в отключении контроллера домена, отсоединении его виртуального диска и подключении его к другой, подконтрольной виртуальной машине. Там хакеры копируют файл NTDS.dit — базу данных Active Directory с хешами паролей — после чего возвращают диск обратно и включают исходную машину. Такой подход позволяет извлечь критически важные данные, не вызывая подозрений на уровне событий ОС.
Имея полный контроль над виртуализацией, злоумышленники также получают доступ к системам резервного копирования. Они очищают расписания, удаляют снимки и уничтожают сами хранилища резервных копий. Финальная стадия атаки — развёртывание шифровальщиков через SSH-подключения на всех обнаруженных в хранилищах виртуальных машинах. Результатом становится массовое шифрование данных и полная потеря управления со стороны организации.
Google описывает архитектуру атаки в пять фаз: от социальной инженерии до захвата всей инфраструктуры ESXi. На практике вся цепочка от первого звонка в поддержку до развёртывания шифровальщика может занять всего несколько часов. Примечательно, что в этих атаках не используются эксплойты уязвимостей, но их эффективность столь высока, что хакеры обходят большинство встроенных средств защиты.
Подобный подход уже применялся Scattered Spider во время громкого инцидента с MGM Resorts в 2023 году. Сегодня всё больше группировок перенимают такую тактику. Одной из причин является слабое понимание VMware-инфраструктур многими организациями и, как следствие, недостаточный уровень их защиты.
Чтобы снизить риск, Google опубликовала технические рекомендации, сводящиеся к трём основным направлениям:
- Первое — усиление защиты vSphere: включение опции execInstalledOnly, шифрование виртуальных машин, отключение SSH, удаление «осиротевших» VM и жёсткое применение многофакторной аутентификации.
- Второе — изоляция критически важных активов: контроллеров домена, PAM-систем и резервных хранилищ. Они не должны размещаться на тех же узлах, что и инфраструктура, которую они защищают.
- Третье — мониторинг: организация централизованного логирования, настройка оповещений на подозрительные действия (например, включение SSH, вход в vCenter, изменение групп администраторов), а также использование неизменяемых бэкапов с воздушным зазором и регулярное тестирование восстановления после атак на систему виртуализации.
Группировка Scattered Spider, также известная как UNC3944, Octo Tempest или 0ktapus, — одна из самых опасных в мире . Её отличает способность к тонкой социальной мимикрии: злоумышленники не просто копируют речевые паттерны сотрудников, но и воспроизводят их произношение, словарный запас и манеру общения. Несмотря на недавние аресты четырёх предполагаемых участников в Великобритании, активность группы не прекратилась. Более того, в последние месяцы её атаки стали всё более дерзкими и масштабными.
Вся пресса за 28 июля 2025 г.
Смотрите другие материалы по этой тематике: За рубежом, Киберугрозы, киберриски и киберстрахование
Установите трансляцию заголовков прессы на своем сайте
|
|
 |
Архив прессы
|
|
|
 |
Текущая пресса
 |
| |
3 июля 2026 г.

|
|
Турпром.ru, 3 июля 2026 г.
Дикий слон ограбил туристов в тук-туке: как получить страховку за ущерб

|
|
LS Aqparat, ИА, Алматы, 3 июля 2026 г.
Автостраховка в Казахстане подорожала: кто теперь платит больше

|
|
ufa1.ru, Уфа, 3 июля 2026 г.
Для водителей ограничат выплаты за ДТП: в какую сумму придется укладывать ремонт

|
|
vietnam.vn, 3 июля 2026 г.
Медицинское страхование — опора безопасности для пациентов

|
|
Хакасия ИА, 3 июля 2026 г.
У жителя Хакасии не получилось взыскать с «Т-страхования» стоимость аренды авто

|
|
LS Aqparat, ИА, Алматы, 3 июля 2026 г.
После землетрясения в Венесуэле и толчков в Алматы вопрос страхования стал особенно актуален

|
|
Ruбеж, 3 июля 2026 г.
Киберстрахование после атаки: почему бизнесу нужен не только полис, но и план восстановления

|
|
Лента.Ру, 3 июля 2026 г.
Пожилые братья попались на угоне итальянской машины ради получения страховки

|
|
ufa1.ru, Уфа, 3 июля 2026 г.
С 11 июля ремонт по ОСАГО подорожает: автоэксперт — о том, что это значит для владельцев машин

|
|
vietnam.vn, 3 июля 2026 г.
Ханой: Бесплатные карты медицинского страхования выдаются лицам в возрасте 60 лет и старше

|
|
Нижегородская правда, 3 июля 2026 г.
25 нижегородцев понесут наказание за мошенничество с ОСАГО

|
|
Мойка78, 3 июля 2026 г.
Петербуржцы, застраховавшие квартиры от разрушений из-за БПЛА, могут не получить компенсации

|
|
Медвестник, 3 июля 2026 г.
Потери от неэффективной диспансеризации могут достигать 20 млрд рублей в год

|
|
Известия онлайн, 3 июля 2026 г.
РСА объяснил разницу в стоимости запчастей в справочниках и на рынке

|
|
РАПСИ (Российское агентство правовой и судебной информации), 3 июля 2026 г.
Отмена страховой выплаты не делает ее неосновательным обогащением — ВС РФ

|
|
За рулем, 3 июля 2026 г.
Страховщики объяснили, почему нельзя привязать ОСАГО к водителю, а не к машине

|
|
Авторадио, 3 июля 2026 г.
В РФ может появиться страховка от поломки авто из-за бензина

|
 Остальные материалы за 3 июля 2026 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|