Scattered Spider rugalmas klaszterei
A Group-IB részletes jelentése szerint a Scattered Spider nem egységes, hierarchikusan működő kiberbűnözői csoport, hanem több, részben független alklaszterből álló, közös TTP-kre épülő bűnözői közeg vagy mozgalom. Ide sorolják többek között a 0ktapus, Muddled Libra, Octo Tempest és UNC3944 néven leírt tevékenységekkel átfedő műveleteket is, de a kutatók hangsúlyozzák, ezek nem feltétlenül ugyanazokat az embereket jelentik. A közös nevező a fejlett social engineering, az identitásszolgáltatók – főleg Okta, de Microsoft, Citrix, Google és OneLogin – utánzása, valamint a SIM swap, kriptolopás és vállalati hozzáférések megszerzése.
A célpontok köre széles, távközlési cégek, BPO-k, marketing- és kommunikációs szolgáltatók, kriptós felhasználók, illetve egyes nagyvállalatok. A támadók gyakran nem végcélként kompromittálnak cégeket, hanem belső SMS-, e-mail- vagy ügyfélszolgálati eszközök megszerzéséért, amelyeket később adathalász linkek terjesztésére vagy SIM swap műveletekre használnak.
A Group-IB fizikai eszközlopást is megfigyelt mobilüzletekből, például dolgozói iPadek megszerzését, valamint alkalmazottak megvesztegetési kísérleteit. A kutatás fő üzenete, hogy a Scattered Spider ereje nem egy központi irányításban, hanem a kis, rugalmas alklaszterek gyors alkalmazkodásában és a bizalmi kapcsolatok agresszív kihasználásában rejlik.