Scattered Spider, koji se početkom 2022. pojavio kao grupa koja se bavi SIM-swappingom, do sredine 2025. evoluirao je u potpuno razvijenu, finansijski motivisanu grupu prijetnji. Ova grupa koristi napredne okvire za phishing kako bi probila neke od najtehnološkije zavisnih firmi na svijetu.
Karakteristika ove grupe je agilna infrastruktura koja koristi domene slične originalnim, često uključujući ključne riječi poput “okta”, “vpn” ili “helpdesk”. Ovi domeni se koriste manje od nedjelju dana prije nego što se unište, čineći tradicionalne liste blokiranja gotovo beskorisnim.
Tokom protekle godine, istražitelji su povezali Scattered Spider sa nizom koordiniranih prodora protiv provajdera upravljanih usluga (MSP) i IT izvođača, iskorištavajući njihov pristup “jedan prema više” u mreže kupaca. Analitičari ReliaQuesta otkrili su da 81 posto registrovanih domena grupe oponaša tehnološke provajdere, što je taktika osmišljena da navede administratore sistema i rukovodioce u zamke akreditiva pokretane Evilginxom.
Rezultat toga je bio niz naknadnih ransomware napada, šema dvostruke ucjene i incidenata krađe podataka, koji su primorali maloprodaje i SaaS provajdere sa obje strane Atlantika da resetuju hiljade privilegovanih naloga.
Maj 2025. označio je prekretnicu, jer su prodori u poznatim britanskim kompanijama poput Marks & Spencer i Co-op, koji su povezani sa kompromitovanim akreditivima u Tata Consultancy Services, otkrili dubinu socijalno-inženjerskog igranja Scattered Spiderea.
Pozivatelji koji tečno govore engleski, često radeći “večernje smjene” koje se poklapaju sa zapadnim radnim vremenom, predstavljali su se kao CFO ili IT osoblje kako bi uvjerili agente podrške da resetuju tokene za višefaktorsku autentifikaciju (MFA), čime su obezbijedili Evilginx-u konačni kolačić sesije potreban za lateralno kretanje.
Za razliku od klasičnih phishing stranica koje samo prikupljaju korisnička imena i lozinke, Evilginx djeluje kao transparentni obrnuti proxy koji presreće svaku HTTP transakciju između žrtve i legitimnog pružaoca identiteta. Kada cilj klikne na link sa tipografskom greškom, na primjer *sso.c0mpany.com*, preglednik uspostavlja TLS sa serverom pod kontrolom napadača, koji zauzvrat prenosi saobraćaj na pravi Okta kraj. JavaScript ubrizgan u hodu uklanja zaglavlja `Set-Cookie`, dostavljajući svježe kolačiće sesije adversaryju dok žrtva nastavlja nesvjesno.
Nakon što se kolačić sesije prikupi, Scattered Spider skriptira API poziv na Okta endpoint `/api/v1/sessions/me` kako bi potvrdio validnost prije premještanja u VPN ili SaaS konzole. Postojanost je kratkotrajna po dizajnu; ReliaQuest telemetrija pokazuje da većina Evilginx domena prestaje sa radom u roku od sedam dana, komplikujući forenzičku rekonstrukciju.
Detekcija se oslanja na anomalije transportnog sloja umjesto na statičke URL-ove. Sigurnosni timovi su počeli da identifikuju TLS sertifikate izdane putem CA sa niskom reputacijom i koreliraju ih sa iznenadnim porastom DNS zahtjeva za rijetko viđenim poddomenskim konstrukcijama. Gdje se može iskoristiti zamor MFA, organizacije prelaze na autentifikatore otporne na phishing (FIDO2/WebAuthn) i uvode povratne provjere za sve resetove službe za podršku, efektivno neutrališući posredničku strategiju.
Dok su iste ukradene sesije nedavno omogućile napadačima da iskoriste SimpleHelp RMM i šifruju stotine nizvodnih hostova za nekoliko minuta. Sve dok takve odbrane ne postanu sveprisutne, Scattered Spider će ostati globalni rizik broj jedan, bez napora kombinujući socijalni inženjering sa tehničkom prikrivenošću kako bi kompromitovao najosjetljivije sisteme.
