ShinyHunters vishing napadi zaobilaze MFA

AUTOR ·

Vishing napadi povezani sa ShinyHunters grupom predstavljaju naprednu kampanju koja koristi taktike društvenog inženjeringa i prikupljanje podataka za prijavu u stvarnom vremenu, što dodatno naglašava značaj višestepene provjere identiteta otporne na phishing u savremenom digitalnom okruženju, pokazuje istraživanje firme Mandiant.

ShinyHunters vishing

ShinyHunters vishing napadi zaobilaze MFA; Source: Bing Image Creator

VISHING KAMPANJA

Vishing kampanja povezana sa grupom ShinyHunters aktivna je najmanje od početka januara 2026. godine. Njena snaga leži u kombinaciji društvenog inženjeringa, prikupljanja podataka u stvarnom vremenu i zaobilaženja provjere identiteta u više koraka. Na taj način zlonamjerni akteri uspijevaju da se infiltriraju u sisteme zasnovane na softveru kao usluzi i da dođu do osjetljivih informacija. Brza evolucija i prilagodljivost čine ovu kampanju posebno opasnom, jer klasične mjere zaštite često ne mogu da je zaustave.

Globalni obim napada obuhvata više od stotinu organizacija iz različitih sektora, uključujući tehnologiju, kriptovalute i biotehnologiju. Posebno je značajno što zlonamjerni akteri ne koriste tehničke propuste u samim platformama, već zloupotrebljavaju legitimne mehanizme prijave. Vishing pozivi i prikupljanje podataka za prijavu omogućavaju im da zaobiđu i dobro postavljene sisteme provjere identiteta, što pokazuje da je riječ o prijetnji koja se oslanja na ljudski faktor, a ne samo na tehničke ranjivosti.

Jedan od ključnih elemenata kampanje jeste prikrivanje tragova. Zlonamjerni akteri brišu lažne poruke iz ugroženih naloga kako bi otežali otkrivanje, dok se za prikrivanje lokacije oslanjaju na komercijalne virtualne privatne mreže (VPN) i posredničke (eng. proxy) servise, među kojima se izdvajaju Mullvad, Oxylabs, NetNut i Infatica. Ovakav pristup otežava pripisivanje i usporava reakciju odbrambenih timova, čime se potvrđuje da je riječ o dugoročno planiranom i organizovanom djelovanju.

Grupa ShinyHunters povezuje se sa klasterima UNC6661, UNC6671 i UNC6240, koji dijele slične tehnike i postupke, ali mogu djelovati polunezavisno. Ovakva mrežna struktura ukazuje na visok stepen fleksibilnosti i spremnost da se eksperimentiše sa novim pristupima. Posebno je uočljivo usmjeravanje napada na firme iz oblasti kriptovaluta, što predstavlja novi pravac djelovanja i potvrđuje sposobnost grupe da prepoznaje ranjivosti u različitim industrijama.

 

Funkcionisanje

Lanac napada počinje korištenjem tehnike vishing – telefonskog phishing napada, naprednom taktikom društvenog inženjeringa koju koriste zlonamjerni akteri kako bi ugrozili provjeru identiteta u više koraka (MFA). Ova metoda podrazumijeva lažno predstavljanje IT službe ili službe za pomoć i kontaktiranje zaposlenih telefonom, koristeći izgovore poput hitnih ažuriranja provjere identiteta u više koraka (MFA) ili provjere bezbjednosti naloga.

Izgovori su pažljivo osmišljeni da stvore osjećaj hitnosti, podstičući zaposlenog da reaguje bez potpune provjere autentičnosti zahtjeva. Zlonamjerni akteri zatim usmjeravaju žrtve na ubjedljive phishing lokacije sa brendom kompanije, koje imitiraju legitimne portale za jedinstvenu prijavu (SSO) za platforme poput Okta, Microsoft 365, Google Workspace i druge.

Registracija ovih phishing lokacija često se vrši preko NICENIC ili Tucows registratora domena, što im daje privid legitimiteta. Upotreba HTTPS protokola dodatno pojačava autentičnost internet lokacija, otežavajući razlikovanje legitimnih od zlonamjernih portala.

Kada žrtva pristupi phishing lokaciji, poziva se da unese podatke za jedinstvenu prijavu (SSO) i, što je ključno, kôdove za provjeru identiteta u više koraka (MFA). Ove informacije se u stvarnom vremenu prenose na legitimne stranice softvera kao usluga (SaaS), pokrećući izazove provjere identiteta u više koraka (MFA) koji se zatim prikupljaju sa naloga žrtve. Kada su kompromitovani i podaci za prijavu i tokeni za provjeru identiteta u više koraka (MFA), zlonamjerni akteri mogu registrovati sopstvene uređaje za provjeru identiteta u više koraka (MFA), čime efikasno zaobilaze bezbjednosne mjere.

Nakon uspješne kompromitacije naloga, zlonamjerni akter se bočno kreće unutar okruženja softvera kao usluga (SaaS) kako bi pristupio osjetljivim podacima. Ova faza uključuje zloupotrebu OAuth protokola, korištenje PowerShell skripti i izvornih API okruženja softvera kao usluga (SaaS) radi dobijanja neovlaštenog pristupa platformama poput SharePoint, OneDrive, Salesforce i drugih.

Kompromitovani nalozi elektronske pošte često se koriste za širenje daljih phishing kampanja, naročito usmjerenih na organizacije iz oblasti kriptovaluta koje su ranjivije zbog specifičnih bezbjednosnih zahtjeva. Zloupotreba OAuth protokola omogućava pristup osjetljivim podacima iskorištavanjem ranjivosti u sistemima provjere identiteta, dok PowerShell skripte olakšavaju automatizaciju zadataka i izbjegavanje otkrivanja. Izvorna API okruženja softvera kao usluga (SaaS) pružaju direktan uvid u funkcionalnost, omogućavajući manipulaciju korisničkim nalozima, kreiranje novih korisnika ili izmjenu dozvola bez otkrivanja.

Završna faza vishing napada često podrazumijeva iznudu, gdje zlonamjerni akteri prijete objavljivanjem ukradenih podataka ukoliko se njihovi zahtjevi ne ispune. Ovakav pristup vrši pritisak na organizacije da se povinuju zahtjevima, često bez potpunog razumijevanja obima ili ozbiljnosti napada.

 

Ciljevi napada

Primarne mete ove kampanje uključuju organizacije sa širokim korištenjem platformi softvera kao usluga (SaaS), posebno one koje koriste Okta, Microsoft 365, Google Workspace, Salesforce, Atlassian, Canva, Epic Games, HubSpot, Moderna, ZoomInfo, WeWork, Slack i DocuSign. Geografski obim napada nije ograničen na određeni region; žrtve su identifikovane u Sjevernoj Americi, Evropi i Azijsko-pacifičkom regionu.

Zlonamjerni akteri daju prioritet organizacijama sa vrijednom intelektualnom svojinom, finansijskom imovinom ili velikim bazama korisnika. Poseban fokus stavljen je na berze kriptovaluta i tehnološke firme zbog njihove procjenjene vrijednosti i ranjivosti. Proces selekcije meta zasniva se prvenstveno na otisku softvera kao usluga (SaaS) organizacije i procijenjenoj vrijednosti njenih podataka.

 

SHINYHUNTERS

ShinyHunters, poznati i pod imenima ShinyCorp, sp1d3rhunters i shinyc0rp, predstavljaju jednu od najzloglasnijih grupa u sajber kriminalnom prostoru. Pojavili su se 2019. godine i ubrzo privukli pažnju zbog aktivnosti koje su uključivale krađu podataka i obmane usmjerene na poznate organizacije. Njihova reputacija je porasla 2020. godine kada su preuzeli odgovornost za hakovanje Wattpad baze podataka sa preko 270 miliona korisničkih zapisa, što ih je učvrstilo kao ozbiljnu prijetnju u digitalnom svijetu.

Njihove metode zasnovane su na različitim oblicima društvenog inženjeringa. Najčešće koriste ciljane elektronske poruke (eng. spear phishing) koje oponašaju portale za jedinstvenu prijavu (SSO), kako bi zaposleni nesvjesno predali svoje podatke. Pored toga, primjenjuju vishing napade i zamjenu SIM kartica (eng. SIM swapping), čime proširuju mogućnosti pristupa osjetljivim informacijama. Kada jednom dođu do podataka za prijavu, koriste ih za neovlašteni ulazak u mreže i sisteme, gdje se fokusiraju na krađu ličnih podataka, finansijskih informacija, poslovnih tajni i intelektualne svojine.

ShinyHunters grupa pokazuje posebnu sklonost ka napadima na organizacije koje koriste softver kao uslugu (SaaS) i baze podataka. Posebno su usmjeravali napade na korisnike Salesforce platforme u industrijama poput trgovine i avio-saobraćaja. Njihov arsenal obuhvata različite alate i zlonamjerne softvere, iako detalji o njihovim tehničkim sposobnostima ostaju djelimično nepoznati zbog prirode njihovog djelovanja na mračnom internetu. Ukupni cilj ovih aktivnosti jeste novčana dobit, bilo kroz prodaju podataka na forumima poput RaidForums i EmpireMarket, bilo kroz besplatno širenje radi sticanja ugleda u kriminalnim zajednicama.

Posebna odlika grupe jeste sposobnost da sarađuju sa drugim kriminalnim organizacijama, poput Scattered Spider i Lapsus$, što im omogućava da vode koordinisane kampanje. Tokom 2022–2023. godine istraživači su identifikovali nekoliko aktivnih članova, među kojima se ističe Yukari, povezan i sa Scattered Spider grupom. Ova povezanost pokazuje promjenljivu prirodu odnosa u sajber kriminalnom prostoru, gdje se savezi brzo formiraju i raspadaju u potrazi za dobiti.

ShinyHunters grupa se izdvaja kao prijetnja koja se stalno prilagođava novim okolnostima. Njihova unutrašnja organizacija, sposobnost da se mijenjaju i spremnost na saradnju čine ih ozbiljnim protivnikom u polju sajber bezbjednosti. Upravo zbog toga, analitičari i branioci sistema moraju održavati stalnu budnost i razvijati nove strategije odbrane, jer ova grupa nastavlja da se razvija i traži nove načine da ostvari svoje ciljeve.

 

UTICAJ

Uticaj vishing kampanje povezane sa grupom ShinyHunters ogleda se u narušavanju stabilnosti povjerenja u provjeru identiteta u više koraka (MFA). Napadi pokazuju da čak i dobro postavljeni sistemi se mogu zaobići kada se zloupotrijebi ljudski faktor. Time se otvara prostor za šire posljedice po organizacije koje se oslanjaju na digitalne servise, jer se narušava osjećaj sigurnosti u osnovne mehanizme zaštite.

Globalni obim kampanje utiče na različite sektore, od tehnologije do biotehnologije i kriptovaluta. Ovakva rasprostranjenost znači da prijetnja ne pogađa samo pojedinačne firme, već ima potencijal da poremeti čitave industrije. Poseban značaj ima usmjeravanje napada na kriptovalute, jer se radi o području gdje povjerenje korisnika direktno određuje vrijednost i stabilnost tržišta.

Uticaj se vidi i u načinu na koji zlonamjerni akteri koriste prave mehanizme prijave. Time se briše granica između tehničkih ranjivosti i psiholoških slabosti zaposlenih. Organizacije koje se oslanjaju na softver kao uslugu (SaaS) suočavaju se sa rizikom da njihovi sistemi budu iskorišteni bez potrebe za tehničkim propustima, što mijenja shvatanje o tome gdje se stvarno nalazi ranjivost.

Dalje posljedice uključuju otežano otkrivanje napada i usporenu reakciju odbrambenih timova. Korištenje komercijalnih virtualnih privatnih mreža (VPN) i posredničkih servisa otežava pripisivanje odgovornosti, što produžava vrijeme potrebno da se prepozna i zaustavi prijetnja. Time se povećava pritisak na organizacije koje moraju balansirati između zaštite podataka i očuvanja kontinuiteta poslovanja.

Uticaj se širi i na reputaciju pogođenih firmi. Kada se ugroze nalozi i osjetljivi podaci, povjerenje korisnika i partnera biva narušeno. To može dovesti do gubitka tržišnog položaja, smanjenja vrijednosti i otežanog poslovanja. Sama činjenica da napadi ne zavise od tehničkih ranjivosti, već od manipulacije ljudima, čini da se prijetnja doživljava kao dugoročna i teško predvidljiva.

 

ZAKLJUČAK

ShinyHunters se prikazuju kao grupa koja stalno mijenja svoje postupke i prilagođava se okolnostima u digitalnom prostoru. Njihova snaga leži u sposobnosti da koriste različite metode društvenog inženjeringa i da ih povezuju sa tehnikama koje im omogućavaju pristup podacima bez oslanjanja na tehničke ranjivosti. Takva fleksibilnost otežava predviđanje njihovih narednih poteza.

Njihovo djelovanje pokazuje da ciljevi nisu ograničeni na jednu oblast, već se šire kroz različite industrije. Posebno je uočljivo usmjeravanje na kompanije koje koriste servise u oblaku, gdje pristup podacima može donijeti značajnu korist. Time se potvrđuje da grupa pažljivo bira mete prema vrijednosti informacija kojima može doći.

Važno je naglasiti i njihovu povezanost sa drugim kriminalnim grupama. Ovakva saradnja stvara širu mrežu djelovanja, gdje se iskustva i sredstva razmjenjuju radi postizanja zajedničkih ciljeva. Takva praksa dodatno otežava razdvajanje njihovih aktivnosti od aktivnosti drugih aktera u sajber prostoru.

Njihova prisutnost se održava uprkos naporima da budu zaustavljeni. Time se pokazuje da se ne radi o prolaznoj prijetnji, već o organizaciji koja gradi dugotrajan položaj. Njihova sposobnost da se mijenjaju i da ostanu aktivni čini ih stalnim izazovom za one koji nastoje da ih spriječe.

ShinyHunters se tako predstavljaju kao protivnik koji ne traži samo trenutnu korist, već gradi dugotrajnu prisutnost kroz stalnu prilagodljivost i povezivanje. Njihovo djelovanje ukazuje na aktera koji ostaje uporan i aktivan, bez obzira na promjene u okruženju.

 

PREPORUKE

Zaštita od vishing napada karakterističnih za grupu ShinyHunters zahtijeva sveobuhvatan pristup koji obuhvata usklađene mjere na nivou organizacije i odgovorno ponašanje pojedinaca. Ključno je spojiti tehničke bezbjednosne alate sa obrazovanjem i stalnim oprezom zaposlenih. U nastavku slijede preporuke koje mogu pomoći u jačanju otpornosti i smanjenju rizika:

  1. Organizacije bi trebalo da usvoje metode provjere identiteta otporne na društveni inženjering, kao što su FIDO2 bezbjednosni ključevi ili lozinke, koje zlonamjerni akteri ne mogu zaobići koristeći taktiku vishing Ovo će značajno smanjiti efikasnost napada karakterističnih za grupu ShinyHunters.
  2. Uspostaviti robusne procedure za provjeru identiteta zaposlenih prilikom zahtjeva za resetovanje lozinke ili druge osjetljive radnje. Zahtijevati video pozive uživo radi potvrde autentičnosti i sprečavanja neovlaštenog pristupa.
  3. Ograničiti pristup povjerljivim područjima, primjenjivati jake lozinke i ukloniti SMS, telefonske pozive i elektronsku poštu kao metode provjere identiteta radi smanjenja površine napada.
  4. Redovno pregledati sisteme i aplikacije radi otkrivanja osjetljivih podataka, osiguravajući da podaci za prijavu nisu ugrađeni u kôd ili nesigurno pohranjeni.
  5. Uspostaviti stroge politike korištenja uređaja, uključujući šifrovanje, sigurno pokretanje sistema i ažurirane verzije operativnih sistema radi sprječavanja iskorištavanja ranjivosti.
  6. Omogućiti pregled i praćenje aktivnosti korisnika, provjera pristupa i načina korištenja aplikacija kroz detaljno bilježenje događaja i mehanizme za otkrivanje sumnjivih aktivnosti.
  7. Nadgledati neuobičajene aktivnosti vezane za uređaje ili procese prijave u provjeru identiteta u više koraka (MFA), jer zlonamjerni akteri mogu pokušati manipulaciju ovim mehanizmima.
  8. Ograničiti administrativne privilegije i pratiti neovlaštene promjene kako bi se spriječilo iskorištavanje ranjivosti u konfiguraciji sistema.
  9. Redovno pregledati zapise aktivnosti radi otkrivanja ponašanja karakterističnih za grupu ShinyHunters, poput naglih resetovanja lozinki ili registracije novih uređaja za provjeru identiteta u više koraka (MFA).
  10. Sprovesti obuku zaposlenih o rizicima povezanim s vishing taktikama i pružiti smjernice za prepoznavanje sumnjivih komunikacija radi sprječavanja uspjeha društvenog inženjeringa.
  11. Uspostaviti pouzdane metode za prijavu pokušaja phishinga napada ili drugih sigurnosnih zabrinutosti, osiguravajući da se osjetljive informacije dijele na siguran način.
  12. Periodično preispitivati organizacione procedure kako bi se osiguralo da ostaju efikasne protiv evoluirajućih prijetnji poput napada karakterističnih za grupu ShinyHunters.
  13. Osigurati da su sve aplikacije, operativni sistemi i drugi kritični komponenti ažurirani najnovijim sigurnosnim ažuriranjima radi sprječavanja iskorištavanja od strane zlonamjernih aktera.
  14. Razviti sveobuhvatne planove odgovora na sajber prijetnje i moguće povrede ili ugrožavanja sistema, uključujući postupke za izolaciju, uklanjanje, oporavak i aktivnosti nakon incidenta.
  15. Izvoditi detaljne provjere organizacionih sistema i aplikacija radi otkrivanja ranjivosti koje bi zlonamjerni akteri mogli iskoristiti.
  16. Osigurati da se osjetljive informacije čuvaju na bezbjedan način korištenjem šifrovanja, kontrola pristupa i drugih zaštitnih mjera radi sprječavanja neovlaštenog otkrivanja ili krađe.
  17. Redovno pregledati sistemske zapise i izvještaje o aktivnostima korisnika radi znakova mogućih povreda ili ugrožavanja, naročito onih koje odlikuju napadi povezani sa grupom ShinyHunters.
  18. Uspostaviti pouzdane načine za razmjenu osjetljivih informacija između zaposlenih, partnera ili drugih uključenih strana radi smanjenja rizika od ugrožavanja podataka.
  19. Njegovati organizaciono okruženje u kojem je sigurnost prioritet i gdje se osoblje podstiče da prijavljuje potencijalne prijetnje ili ranjivosti.

Zaštita od vishing napada poput onih povezanih sa grupom ShinyHunters. zahtjeva sveobuhvatan pristup koji uključuje i individualne i organizacione napore. Primjenom ovih preporuka, organizacije mogu značajno smanjiti efikasnost takvih napada i održati povjerenje svojih korisnika.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.