Scattered Spider атакует VMware ESXi с помощью социальной инженерии

РОССИЯ 365

Scattered Spider атакует VMware ESXi с помощью социальной инженерии

Группа Scattered Spider (также известная как UNC3944, 0ktapus и Muddled Libra) продолжает свои атаки на гипервизоры VMware ESXi, используя методы социальной инженерии. Они обходят традиционные средства защиты конечных точек, такие как EDR, эксплуатируя уязвимости на уровне гипервизора. Это особенно опасно, поскольку ESXi и vCenter Server Appliance (vCSA) не поддерживают установку агентов EDR, что создаёт пробел в мониторинге виртуализированной инфраструктуры.

⸻

Как проводятся атаки

Атаки начинаются с фишинга или социальной инженерии: злоумышленники маскируются под сотрудников и обманывают IT-поддержку, чтобы сбросить пароли Active Directory. После получения начального доступа они выявляют учётные записи с высоким уровнем привилегий, такие как “vSphere Admins”, получают доступ к vCSA, активируют SSH на ESXi-хостах и сбрасывают пароли root, получая полный контроль над виртуализированной инфраструктурой. В конечном итоге развертывается программное обеспечение-вымогатель, например DragonForce, с применением двойного вымогательства — угроза как утечкой данных, так и их уничтожением.

⸻

Цели и методы злоумышленников

Недавние атаки были зафиксированы в секторах розничной торговли, авиаперевозок и страхования в США. Группа использует RAT для скрытого доступа и DragonForce для шифрования систем. Украденные данные хранятся на платформах MEGA.nz и Amazon S3, а также эксплуатируются базы данных Snowflake для быстрой кражи больших объёмов информации. Злоумышленники создают поддельные личности, следят за внутренними коммуникациями и даже участвуют в инцидент-реактивных звонках, чтобы понять, как реагируют защитники.

⸻

Рекомендации по защите

В ответ на угрозы CISA, FBI и другие международные агентства рекомендуют:
• Внедрять многофакторную аутентификацию, устойчивая к фишингу;
• Ограничивать и контролировать удалённый доступ;
• Отслеживать подозрительные входы и аномальное поведение учётных записей;
• Поддерживать офлайн-зашифрованные резервные копии;
• Сегментировать сети;
• Устранять известные уязвимости в системах.

Эти меры помогут повысить уровень безопасности и снизить риски атак на гипервизоры VMware ESXi.