Obrasci lažnih domenâ grupe Scattered Spider nude korisne uvide za proaktivno suprotstavljanje prijetnjama od ove notorne sajber grupe odgovorne za nedavne napade na avioprevoznike.
Scattered Spider, sofisticirana sajber prijetnja poznata po agresivnom društvenom inženjeringu i ciljanom fišingu, proširuje svoj opseg, posebno ciljajući avijaciju pored korporativnih okruženja.
Istraživački tim Check Point Research otkrio je specifične pokazatelje lažnih domenâ, pomažući preduzećima i avijacijskim kompanijama da se proaktivno brane od ove rastuće prijetnje.
Nedavni napadi na avijaciju povezani sa Scattered Spider
U značajnoj eskalaciji, nedavni medijski izvještaji i obavještajne preporuke povezuju Scattered Spider sa sajber napadima na velike avioprevoznike, naročito sa probojem podataka iz jula 2025. godine koji je pogodio šest miliona korisnika Qantas-a.
Analitičari sajber sigurnosti primijetili su taktike poput umora od višefaktorske autentifikacije (MFA) i glasovnog fišinga (vishing), koje se blisko podudaraju sa poznatim metodama Scattered Spider-a.
Slični incidenti koji uključuju Hawaiian Airlines i WestJet dodatno su istakli hitnost rješavanja ranjivosti kod dobavljača trećih strana povezanih s avijacijom.
FBI je izdao upozorenja o proširenom fokusu grupe na sektor avijacije, sa više prevoznika koji prijavljuju sumnjive aktivnosti.
Ključni pokazatelji ciljanja i lažni domeni
Check Point Research identifikovao je dosljedan obrazac u infrastrukturi za fišing koju registruje Scattered Spider.
Ovi domeni blisko oponašaju legitimne portale za prijavljivanje korporacija i dizajnirani su tako da navedu zaposlene da otkriju svoje vjerodajnice.
Tipične konvencije imenovanja uključuju:
victimname-sso.com
victimname-servicedesk.com
victimname-okta.com
Tokom ciljane istrage, istraživači Check Point-a identifikovali su približno 500 domenâ koja slijede poznate konvencije imenovanja Scattered Spider-a, ukazujući na potencijalnu infrastrukturu za fišing koja je u upotrebi ili pripremljena za buduće napade.
Primjeri uočenih domenâ uključuju chipotle-sso[.]com, gemini-servicedesk[.]com i hubspot-okta[.]com.
Ovo unakrsno sektorsko ciljanje naglašava oportunistički pristup grupe, prilagođavajući se visokovrijednim ranjivostima umjesto da se fokusira na određeni vertikal.
Javno dostupne obavještajne informacije navode da je Scattered Spider aktivan najmanje od 2022. godine, sastavljen uglavnom od mladih pojedinaca (starosti 19–22) iz SAD-a i Velike Britanije.
Grupa je finansijski motivisana, ciljajući ransomware, krađu vjerodajnica i cloud infrastrukturu, koristeći napredne tehnike društvenog inženjeringa.
Sofisticirani napadački arsenal
Scattered Spider koristi širok spektar sofisticiranih metoda napada za infiltraciju ciljeva i održavanje dugoročnog pristupa.
Njihove metode društvenog inženjeringa uključuju ciljani fišing, zamjenu SIM kartica, napade umora od višefaktorske autentifikacije (MFA) i taktike telefonske imitacije.
Grupa koristi brojne alate za daljinski pristup, uključujući TeamViewer, AnyDesk, Splashtop, ScreenConnect i Tailscale.
Za krađu vjerodajnica, koriste alate poput Mimikatz i ADExplorer, dok njihov malver arsenal uključuje WarZone RAT, Raccoon Stealer i Vidar Stealer.
Što je najvažnije, Scattered Spider je povezan sa implementacijom BlackCat/ALPHV ransomware-a, djelujući pod modelom Ransomware-as-a-Service.
Check Point preporučuje prilagođene strategije odbrane kako za preduzeća, tako i za organizacije u avijaciji.
Za preduzeća, ovo uključuje kontinuirano praćenje domena, obuku zaposlenih usmjerenu na zloupotrebu MFA i vishing, adaptivna rješenja za autentifikaciju i robusnu sigurnost krajnjih tačaka.
Organizacije u sektoru avijacije trebale bi dati prioritet upravljanju rizicima kod dobavljača, snažnoj provjeri identiteta za resetovanje lozinki i playbook-ovima za reagovanje na incidente specifičnim za taj sektor.
Istraživanje naglašava da nijedan sektor nije imun na sofisticirane kampanje društvenog inženjeringa, čineći proaktivne mjere odbrane ključnim za sve organizacije.
