Scattered Spider rugalmas klaszterei

Editors' Pick

A Group-IB részletes jelentése szerint a Scattered Spider nem egységes, hierarchikusan működő kiberbűnözői csoport, hanem több, részben független alklaszterből álló, közös TTP-kre épülő bűnözői közeg vagy mozgalom. Ide sorolják többek között a 0ktapusMuddled LibraOcto Tempest és UNC3944 néven leírt tevékenységekkel átfedő műveleteket is, de a kutatók hangsúlyozzák, ezek nem feltétlenül ugyanazokat az embereket jelentik. A közös nevező a fejlett social engineering, az identitásszolgáltatók – főleg Okta, de Microsoft, Citrix, Google és OneLogin – utánzása, valamint a SIM swap, kriptolopás és vállalati hozzáférések megszerzése. 

A célpontok köre széles, távközlési cégek, BPO-k, marketing- és kommunikációs szolgáltatók, kriptós felhasználók, illetve egyes nagyvállalatok. A támadók gyakran nem végcélként kompromittálnak cégeket, hanem belső SMS-, e-mail- vagy ügyfélszolgálati eszközök megszerzéséért, amelyeket később adathalász linkek terjesztésére vagy SIM swap műveletekre használnak. 

A Group-IB fizikai eszközlopást is megfigyelt mobilüzletekből, például dolgozói iPadek megszerzését, valamint alkalmazottak megvesztegetési kísérleteit. A kutatás fő üzenete, hogy a Scattered Spider ereje nem egy központi irányításban, hanem a kis, rugalmas alklaszterek gyors alkalmazkodásában és a bizalmi kapcsolatok agresszív kihasználásában rejlik.

FORRÁS