Rozproszony Pająk ewoluuje w 2025 roku z nowym zestawem do phishingu i złośliwym oprogramowaniem

Niesławna grupa hakerów Scattered Spider nadal stanowi poważne zagrożenie dla cyberbezpieczeństwa w 2025 roku, pomimo wielu aresztowań w ubiegłym roku.

Grupa stosuje zaawansowane techniki inżynierii społecznej, ale ewoluowała swoje metody, wprowadzając nowe zestawy phishingowe oraz zaktualizowane oprogramowanie złośliwe typu Spectre RAT, aby atakować wysoko profilowane firmy.

Według firmy zajmującej się cyberbezpieczeństwem Silent Push, Scattered Spider nadal aktywnie prowadzi ataki na główne marki, w tym Nike, T-Mobile, Louis Vuitton i Vodafone. Również poszerzyli swoje cele o platformy do przechowywania danych w chmurze i marketingu, takie jak Pure Storage i Klaviyo.

Od 2022 roku, grupa ta jest aktywna i początkowo zasłynęła włamaniami do takich firm jak Twilio i MGM Resorts. Dokonała tego, oszukując pracowników, aby ujawnili swoje dane do logowania i kody MFA poprzez fałszywe portale logowania.

Mimo, że kilku członków, w tym rzekomy lider, Tyler Buchanan, zostało aresztowanych w 2024 roku, grupa odzyskała od tego czasu siły, prawdopodobnie z nowymi członkami i deweloperami, którzy udoskonalili swoje narzędzia i techniki, jak wyjaśnia Silent Push.

Jednym z najbardziej znaczących rozwojów tego roku jest ich przyjęcie Phishing Kit #5, teraz hostowanego na Cloudflare. Silent Push wyjaśnia, że obecna wersja różni się od wcześniejszych, które przekierowywały użytkowników na „Never Gonna Give You Up” Ricka Astleya jako żart, ponieważ działa bardziej dyskretnie i jest trudniejsza do wykrycia.

W kolejnym niepokojącym zwrocie, grupa zaczęła wykorzystywać publicznie wynajmowane subdomeny – takie jak klv1.it[.]com – które naśladują legalne usługi. Te subdomeny, często powiązane z dynamicznymi dostawcami DNS, są trudniejsze do śledzenia z powodu braku tradycyjnej rejestracji domen.

Silent Push ostrzega, że organizacje powinny rozważyć blokowanie takich domen na poziomie sieci, aby zminimalizować narażenie.

Dodatkowo, grupa Scattered Spider została powiązana z ponownym nabyciem domeny kiedyś należącej do Twitter/X: twitter-okta[.]com. Nadal nie jest pewne, czy domena ta zostanie wykorzystana w nadchodzących kampaniach, ale podkreśla to determinację grupy w wykorzystywaniu niedocenianych lub porzuconych zasobów cyfrowych – mówi Silent Push.

Grupa Scattered Spider nadal ewoluuje jako niebezpieczne zagrożenie w 2024 roku ze względu na swoją zdolność do dostosowywania swojej infrastruktury i oprogramowania szkodliwego, a także znajdowania nowych wektorów ataku. Ciągła ewolucja grupy pokazuje, że nie zakończyli jeszcze swoich operacji.

Organizacje muszą pozostać czujne podczas śledzenia nietypowych zachowań i utrzymania aktualizowanych środków bezpieczeństwa, aby zapobiec atakom ze strony tej nieustępliwej cyberprzestępczej organizacji.