Разбросанный Паук эволюционирует в 2025 году с новым комплектом для фишинга и вредоносным ПО

Зловещая хакерская группа Scattered Spider продолжает представлять серьезную угрозу кибербезопасности в 2025 году, несмотря на множество арестов в прошлом году.

Группа использует сложные тактики социальной инженерии, но она модернизировала свои методы, внедрив новые комплекты для фишинга и обновленное вредоносное ПО Spectre RAT для атаки на крупные компании.

Согласно информации кибербезопасной компании Silent Push, группа Scattered Spider активно принимает участие в атаках на крупные бренды, включая Nike, T-Mobile, Louis Vuitton и Vodafone. Они также расширили круг своих целей, включая в него облачные хранилища и маркетинговые платформы, такие как Pure Storage и Klaviyo.

С 2022 года группа активна и впервые стала известна благодаря взлому компаний, таких как Twilio и MGM Resorts. Они добились этого, обманув сотрудников и заставив их отдать свои учетные данные и коды MFA через поддельные порталы для входа.

Хотя несколько членов, включая предполагаемого лидера Тайлера Бьюкенена, были арестованы в 2024 году, группа с тех пор вновь ожила, вероятно, с новыми участниками и разработчиками, улучшающими свои инструменты и методы, как объяснил Silent Push.

Одним из наиболее заметных изменений в этом году является их использование Phishing Kit #5, теперь размещенного на Cloudflare. Silent Push объясняет, что текущая версия отличается от более ранних версий, которые перенаправляли пользователей на песню Рика Астли «Never Gonna Give You Up» в шутку, поскольку она работает более скрытно и ее сложнее обнаружить.

В еще одном тревожном сдвиге, группа начала использовать общедоступные субдомены, которые можно арендовать — такие как klv1.it[.]com — имитирующие законные услуги. Эти субдомены, часто связанные с провайдерами динамического DNS, сложнее проследить из-за отсутствия традиционной регистрации домена.

Silent Push предупреждает, что организациям следует рассмотреть возможность блокировки таких доменов на уровне сети, чтобы уменьшить риски.

Кроме того, группа Scattered Spider была связана с повторным приобретением домена, который когда-то принадлежал Twitter/X: twitter-okta[.]com. Пока остается неясным, будет ли использоваться этот домен в предстоящих кампаниях, это подчеркивает упорство группы в использовании пренебрегаемых или заброшенных цифровых активов, говорит Silent Push.

Группа Scattered Spider продолжает развиваться в 2024 году как опасная угроза из-за своей способности адаптировать свою инфраструктуру и вредоносное ПО, находя новые векторы атак. Постоянное развитие группы показывает, что они не завершили свои операции.

Организациям необходимо оставаться бдительными при отслеживании необычного поведения и поддерживать обновленные меры безопасности для предотвращения атак от этой настойчивой киберпреступной организации.