Grupa “Scattered Spider” napada tehnološke kompanije koristeći okvire za phishing i metode socijalnog inženjeringa.
“Scattered Spider” je na sajber bezbjednosnu scenu stupio početkom 2022. godine kao grupa koja se bavila uglavnom zamjenom SIM kartica, ali je do sredine 2025. evoluirao u potpunu, finansijski motivisanu grupu hakera, koristeći napredne okvire za phishing kako bi provalio u neke od tehnološki najrazvijenijih firmi na svijetu.
Za ovu grupaciju je karakteristična agilna infrastruktura koja stvara lažne domene, često koristeći ključne riječi poput “okta”, “vpn” ili “helpdesk”, i to na period kraći od sedam dana prije nego što ih ugasi, čineći tradicionalne liste blokiranja gotovo beskorisnim.
Tokom protekle godine, istražitelji su povezali “Scattered Spider” sa nizom koordinisanih upada u kompanije koje pružaju upravljane usluge (MSP) i IT ugovarače, iskorištavajući njihov pristup mrežama kupaca na principu “jedan prema mnogima”.
Analitičari iz “ReliaQuest” su identifikovali da 81% registrovanih domena grupe oponaša tehnološke dobavljače, što je taktika osmišljena da navede sistemske administratore i rukovodioce u zamke za kredencijale koje pokreće “Evilginx”.
Rezultat toga je bio niz naknadnih napada ransomwareom, šeme dvostruke ucjene i incidenti krađe podataka, koji su prisilili maloprodajne lance i pružaoce SaaS usluga sa obje strane Atlantika da resetuju hiljade privilegovanih naloga.
Maj 2025. godine je označio prekretnicu, jer su provale u poznate britanske kompanije kao što su “Marks & Spencer” i “Co-op”, koje su povezane sa kompromitovanim kredencijalima u “Tata Consultancy Services”, otkrile dubinu “Scattered Spider” socijalno-inženjering playbook-a.
Provajderi koji tečno govore engleski jezik, često radeći “večernje smjene” koje se poklapaju sa radnim vremenom zapadnih kancelarija, predstavljali su se kao finansijski direktori ili IT osoblje kako bi ubijedili agente za podršku da resetuju tokene za višefaktorsku autentifikaciju (MFA), čime su “Evilginx”-u obezbijedili konačni kolačić sesije potreban za lateralno kretanje.
Dubinska analiza: Mehanizam infekcije putem Evilginx reverzne proksije
Za razliku od klasičnih fišing stranica koje samo prikupljaju korisnička imena i lozinke, “Evilginx” djeluje kao transparentna reverzna proksi koja presreće svaku HTTP transakciju između žrtve i legitimnog provajdera identiteta.
Kada ciljna osoba klikne na link sa pogrešno napisanom domenom – na primjer, `sso.c0mpany.com` – pretraživač uspostavlja TLS sa serverom pod kontrolom napadača, koji zauzvrat prenosi saobraćaj do pravog Okta endpoint-a.
JavaScript, ubrizgan u letu, uklanja `Set-Cookie` zaglavlja, dostavljajući svježe kolačiće sesije napadaču, dok žrtva nastavlja dalje nesvjesno.
Jednom kada se kolačić sesije prikupi, “Scattered Spider” skriptuje API poziv ka Okta endpoint-u `/api/v1/sessions/me` kako bi potvrdio njegovu validnost prije nego što se prebaci u VPN ili SaaS konzole.
Perzistentnost je kratkotrajna po dizajnu; telemetrija “ReliaQuest” pokazuje da većina “Evilginx” domena deaktivira unutar sedam dana, komplikujući forenzičku rekonstrukciju.
Detekcija se oslanja na anomalije transportnog sloja, a ne na statičke URL-ove. Sigurnosni timovi su počeli da prepoznaju TLS sertifikate izdate putem CA sa niskim rejtingom i da ih povezuju sa iznenadnim skokovima u DNS zahtjevima za rijetko viđene poddomenske konstrukcije.
Tamo gdje se zamor MFA može iskoristiti, organizacije prelaze na provjere autentičnosti otporne na phishing (FIDO2/WebAuthn) i uvode povratne provjere za sve resetove putem službe za podršku, efikasno neutrališući “proxy-in-the-middle” taktiku.
Dok su iste ukradene sesije nedavno omogućile napadačima da iskoriste “SimpleHelp RMM” i šifruju stotine nizvodnih hostova za nekoliko minuta.
Sve dok ovakve odbrane ne postanu sveprisutne, “Scattered Spider” će ostati globalni rizik broj jedan, besprekorno preplićući socijalni inženjering sa tehničkom prevarom kako bi ugrozili same čuvare podataka.
