Исследователи Microsoft сообщили в четверг, что весьма успешная преступная группировка, движимая финансовыми мотивами, выдает себя за некоммерческие организации, чтобы получить льготные тарифы или даже бесплатный доступ к облачным аккаунтам, которые она затем использует для осуществления все большего числа мошеннических операций по краже подарочных карт, нацеленных на ведущих розничных продавцов США.
Исследователи заявили, что активность, связанная с группой, отслеживаемой Microsoft как Storm-0539 или Atlas Lion и действующей с конца 2021 года, выросла на 30% с марта после 60-процентного роста активности вторжений в период с сентября по декабрь 2023 года, согласно исследованию, проведенному Microsoft и представленному на ежегодной конференции по киберпреступности Sleuthcon в пятницу .
Группа специализируется на атаках на крупных ритейлеров, преимущественно в США, уделяя особое внимание ключевым сотрудникам или офисам этих компаний, контролирующим операции с платежами и подарочными картами. После успешного фишинга этих сотрудников злоумышленники получают возможность ориентироваться в сложных облачных средах, а также в специфических процедурах компании, чтобы максимально увеличить сумму, которую можно украсть с помощью мошеннических платежных или подарочных карт.
В уведомлении от мая 2024 года ФБР предупредило , что группировка добилась большого успеха в атаках на личные и рабочие телефоны ключевых сотрудников, обходя протоколы многофакторной аутентификации и добавляя свои телефоны в системы для сохранения активности. В одном случае розничный торговец заметил активность Storm-0539 и частично её пресек, но группировка смогла продолжить атаку и атаковала неиспользованные подарочные карты.
По словам Эмиеля Хегеберта, старшего аналитика по поиску преступников в Microsoft Threat Intelligence Center и одного из ключевых аналитиков исследования, эта группа, в состав которой, как полагают, входит не более дюжины человек, является уникальной в экосистеме киберпреступности, учитывая, что они базируются в Марокко, обладают глубокими знаниями и навыками использования облачных сред и не полагаются на вредоносное ПО.
«По сути, они входят в систему, а не взламывают ее», — сказал он о группе, которая представляет собой резкий переход от многолетней тактики прикрепления физических скиммеров к POS-терминалам для копирования номеров кредитных карт.
Хегеберт заявил, что Microsoft наблюдала, как группа создавала домены, выдавая себя за легальные некоммерческие организации, такие как приюты для животных и благотворительные организации в США и Европе, и даже получала копии переписки с Налоговой службой США, в которой эти организации классифицируются как легальные некоммерческие. С помощью этих материалов группа получала скидки или бесплатно облачные сервисы, которые затем использовала для хостинга виртуальных машин и другой инфраструктуры, связанной с её деятельностью.
Разведывательная деятельность группы и ее способность использовать облачные среды «аналогичны тому, что Microsoft наблюдает у субъектов угроз, спонсируемых государством», — написали Хегеберт и другие исследователи в отчете компании Cyber Signals за май 2024 года , в котором основное внимание уделяется последним серьезным угрозам, с которыми сталкивается компания.
Хегеберт заявил, что пока неясно, сколько денег группировке удалось украсть, но отметил, что им довольно успешно удается понимать политику отдельных компаний в отношении подарочных карт, в том числе, на какую сумму эта политика позволяет выдавать карты, а затем не выходить за пределы этого порога.
По словам Хегеберта, компании могут добиться значительных успехов в защите от этого вида атак, используя средства защиты, которые им следует использовать в любом случае, например, включив многофакторную аутентификацию (MFA) для всех сотрудников и внедрив принцип наименьших привилегий, при котором доступ сотрудников ограничивается функциями, необходимыми им для работы.
Компаниям также следует рассматривать свои порталы и инфраструктуру подарочных карт как высокоприоритетные цели и понимать, как выглядит базовая активность сотрудников, работающих в этих сетях. Например, если сотрудник обычно заходит в систему из Мэриленда с 9:00 до 17:00 по восточному времени, «кто-то из Марокко в 2 часа ночи не должен заходить в вашу учетную запись», — сказал он. «Подобные действия следует помечать как аномальные… подобные действия будут чрезвычайно эффективны против этой группы».
Исследователи заявили, что активность, связанная с группой, отслеживаемой Microsoft как Storm-0539 или Atlas Lion и действующей с конца 2021 года, выросла на 30% с марта после 60-процентного роста активности вторжений в период с сентября по декабрь 2023 года, согласно исследованию, проведенному Microsoft и представленному на ежегодной конференции по киберпреступности Sleuthcon в пятницу .
Группа специализируется на атаках на крупных ритейлеров, преимущественно в США, уделяя особое внимание ключевым сотрудникам или офисам этих компаний, контролирующим операции с платежами и подарочными картами. После успешного фишинга этих сотрудников злоумышленники получают возможность ориентироваться в сложных облачных средах, а также в специфических процедурах компании, чтобы максимально увеличить сумму, которую можно украсть с помощью мошеннических платежных или подарочных карт.
В уведомлении от мая 2024 года ФБР предупредило , что группировка добилась большого успеха в атаках на личные и рабочие телефоны ключевых сотрудников, обходя протоколы многофакторной аутентификации и добавляя свои телефоны в системы для сохранения активности. В одном случае розничный торговец заметил активность Storm-0539 и частично её пресек, но группировка смогла продолжить атаку и атаковала неиспользованные подарочные карты.
По словам Эмиеля Хегеберта, старшего аналитика по поиску преступников в Microsoft Threat Intelligence Center и одного из ключевых аналитиков исследования, эта группа, в состав которой, как полагают, входит не более дюжины человек, является уникальной в экосистеме киберпреступности, учитывая, что они базируются в Марокко, обладают глубокими знаниями и навыками использования облачных сред и не полагаются на вредоносное ПО.
«По сути, они входят в систему, а не взламывают ее», — сказал он о группе, которая представляет собой резкий переход от многолетней тактики прикрепления физических скиммеров к POS-терминалам для копирования номеров кредитных карт.
Хегеберт заявил, что Microsoft наблюдала, как группа создавала домены, выдавая себя за легальные некоммерческие организации, такие как приюты для животных и благотворительные организации в США и Европе, и даже получала копии переписки с Налоговой службой США, в которой эти организации классифицируются как легальные некоммерческие. С помощью этих материалов группа получала скидки или бесплатно облачные сервисы, которые затем использовала для хостинга виртуальных машин и другой инфраструктуры, связанной с её деятельностью.
Разведывательная деятельность группы и ее способность использовать облачные среды «аналогичны тому, что Microsoft наблюдает у субъектов угроз, спонсируемых государством», — написали Хегеберт и другие исследователи в отчете компании Cyber Signals за май 2024 года , в котором основное внимание уделяется последним серьезным угрозам, с которыми сталкивается компания.
Хегеберт заявил, что пока неясно, сколько денег группировке удалось украсть, но отметил, что им довольно успешно удается понимать политику отдельных компаний в отношении подарочных карт, в том числе, на какую сумму эта политика позволяет выдавать карты, а затем не выходить за пределы этого порога.
По словам Хегеберта, компании могут добиться значительных успехов в защите от этого вида атак, используя средства защиты, которые им следует использовать в любом случае, например, включив многофакторную аутентификацию (MFA) для всех сотрудников и внедрив принцип наименьших привилегий, при котором доступ сотрудников ограничивается функциями, необходимыми им для работы.
Компаниям также следует рассматривать свои порталы и инфраструктуру подарочных карт как высокоприоритетные цели и понимать, как выглядит базовая активность сотрудников, работающих в этих сетях. Например, если сотрудник обычно заходит в систему из Мэриленда с 9:00 до 17:00 по восточному времени, «кто-то из Марокко в 2 часа ночи не должен заходить в вашу учетную запись», — сказал он. «Подобные действия следует помечать как аномальные… подобные действия будут чрезвычайно эффективны против этой группы».
