Вишинг для доступа: Отслеживание расширения кражи данных SaaS под брендом ShinyHunters

Mandiant зафиксировала рост активности угроз, соответствующей операциям вымогательства ShinyHunters. Эти злоумышленники используют изощренный голосовой фишинг и поддельные сайты для сбора учетных данных, чтобы украсть учетные данные для единого входа и многофакторной аутентификации. Получив доступ, они нацеливаются на облачные SaaS-приложения для эксфильтрации конфиденциальных данных с целью вымогательства. Группа Google Threat Intelligence отслеживает эту активность под несколькими кластерами угроз, включая UNC6661, UNC6671 и UNC6240. Методология нацеливания на поставщиков удостоверений и SaaS-платформы развивается, расширяется спектр компрометируемых облачных платформ. Недавние инциденты обострились до преследования сотрудников жертв. Эта активность эксплуатирует социальную инженерию, а не уязвимости безопасности, подчеркивая необходимость многофакторной аутентификации, устойчивой к фишингу. UNC6661, в частности, выдавал себя за IT-персонал, чтобы обманом заставить сотрудников раскрыть учетные данные и коды MFA. После первоначального доступа UNC6661 перемещался по сети для эксфильтрации данных из различных SaaS-платформ, таких как SharePoint, Salesforce и DocuSign. В некоторых случаях они использовали такие инструменты, как ToogleBox Recall, для удаления следов своей деятельности. Деятельность по вымогательству, приписываемая UNC6240, включала утечки данных, требования выкупа и даже SMS-преследование. UNC6671 проводил аналогичные операции голосового фишинга, но с некоторыми отличиями в регистрации доменов и тактике вымогательства. Злоумышленники совершенствуют свои операции для сбора более конфиденциальных данных с целью вымогательства, при этом недавняя активность показывает потенциальный фокус на отдельных лицах.