Eine neue Wendung in der Taktik von Cyberkriminellen ersetzt Sicherheitsteams auf Wache: Nach einem kürzlichen Bericht würde das Kollektiv namens Scattered LAPSUS $Hunters (SLH) bewusst Frauen rekrutieren, um vishing Kampagnen für technische Support-Abteilungen durchzuführen, Angebot $500 und $1.000 pro Anruf und die Bereitstellung von Skripten, die bereits bereit sind, die Betreiber zu täuschen. Die Geheimdienstfirma Dataminr beschrieb diese Initiative als Verpflichtung zur Diversifizierung und Verfeinerung ihres "sozialen Personals", um die Erfolgschancen der Mitarbeiter zu erhöhen, um Zentren zu helfen nach seinem Bericht.
Hinter dem Akronym SLH ist ein Amalgam von Schauspielern, die bereits ihre Fähigkeit gezeigt haben, menschliche und technologische Schwächen auszunutzen. Gruppen wie LAPSUS $, Scattered Spider und ShinyHunters sind in Betrieben miteinander verbunden, die überzeugende Anrufe, hoch gearbeitete Social Engineering und Techniken für die Zeichnung von Mehrfachauthentifizierung kombinieren. Die Strategie ist einfach in ihrem Ansatz: das Personal des Helpdesks, um die Anmeldeinformationen wiederherzustellen oder ein Remote Access Tool (RMM) zu installieren, die Tür zu Seitenbewegungen zu öffnen, Privilegien und massiven Datendiebstahl zu heben, auch mit posterior Bereitstellung von Ansomware.
Die Analysten, die diesen Schauspielern folgen, weisen darauf hin, dass sie nicht auf die grobe Telefon-Supplantierung beschränkt sind. Um ihre Aktivität zu tarnen und Alarme zu vermeiden, verwenden sie legitime Dienste und Wohn-Proxies-Netzwerke - Mechanismen, die es ihnen ermöglichen, ihren Verkehr mit "normalen" Verkehr zu mischen - und Tunnel und öffentliche Dateiaustausch-Dienste zu exfiltern Informationen. Werkzeuge wie Ngrok, Teleport und temporäre Speicherdienste sind in den Untersuchungen erschienen, sowie kommerzielle Proxies-Plattformen, die es schwierig machen, die Infrastruktur des Angreifers zu verfolgen. Ein detaillierteres technisches Profil dieser Praktiken findet sich in spezialisierten Analysen wie Team Cymru.
Die Fähigkeit dieser Gruppen, den menschlichen Faktor auszunutzen, hat zu Cyber-Sicherheits-Signaturen wie Palo Alto Networks Unit 42 geführt, in denen sie Scattered Spider beschreiben (gefolgt von Unit 42 unter dem Namen "Muddled Libra") als Schauspieler sehr geschickt, um menschliche Psychologie zu manipulieren. Unit 42 hat Fälle dokumentiert, in denen nach Erhalt privilegierter Anmeldeinformationen per Telefon Angreifer virtuelle Maschinen für die Erkennung von Active Directory und für die Entfernung von Postfächern oder Daten von Cloud-Plattformen wie Snowflake erstellen; Operationen, die Supplantierung mit seitlichen Bewegungstechniken und stille Exfiltration kombinieren. Ihr technisches Dossier und Ihre Empfehlungen sind in dem von Unit 42 veröffentlichten Playbook verfügbar. Hier. und in anderen Dokumenten, in denen Sie erklären, wie Sie diese Bedrohungen durch Cloud-Aufzeichnungen verfolgen Hier..
Eine wiederkehrende technische Facette bei diesen Angriffen ist die Suche nach Möglichkeiten, Multifaktor-Authentifizierung (MFA) zu vermeiden. Praktiken wie "prompt pumping" - sättigen MFA-Benachrichtigungen, bis ein Benutzer fehleranfällig anklickt - und SIM-Austausch sind Werkzeuge im Arsenal dieser Gruppen. Um diese Technik und ihre Auswirkungen auf die Verteidigung besser zu verstehen, gibt es detaillierte Erläuterungen zu spezialisierten Ressourcen wie z.B. Silberfort.
Angesichts dieser Entwicklung müssen Sicherheitsteams und technische Support-Abteilungen über rein technologische Lösungen hinausblicken. Schulungen und Prozeduren sind wichtige Teile: Die Mitarbeiter des Helpdesks müssen bereit sein, vorbereitete Skripte, sehr polierte Anrufe und Techniken zu erkennen, um schnelles Vertrauen zu schaffen. Gleichzeitig müssen Organisationen ihre Zugangsrichtlinien verschärfen: die Faktoren auf der Grundlage von SMS-Nachrichten durch phishing-resistente Methoden zu verlassen, strenge Kontrollen für die Erstellung von Verwaltungskonten durchzuführen und erhöhte Privilegien nach einer Telefoninteraktion systematisch zu prüfen.
Technische Kontrollen ergänzen die Ausbildung. Die Cloud-Log-Überwachung ermöglicht es Ihnen, abnorme Bewegungen nach einem Aufruf zur Unterstützung zu erkennen; die Möglichkeit der Installation von RMM-Tools ohne vorherige Genehmigung reduziert Verpflichtungsvektoren; und die Verwendung von phishing-resistenter Authentifizierung, wie FIDO2-Schlüssel oder zertifikatsbasierte Lösungen, reduziert drastisch die Wirksamkeit von Suplantationsversuchen. Behörden und Reaktionszentren empfehlen, Sensibilisierungsmaßnahmen mit robusten Identitätskonfigurationen zu kombinieren: NIST-Richtlinien zur digitalen Identität bieten Rahmen für die Gestaltung von MFA- und Identitätsprüfungsrichtlinien Beratend hier und CERT / CISA unterhält praktische Ratschläge zur Identifizierung und Minderung von Social Engineering-Techniken hier verfügbar.
Es geht nicht nur darum, technische Barrieren zu heben: Arbeitsmarktdruck und die Bereitstellung von wirtschaftlichen Belohnungen pro Anruf schaffen ein Umfeld, in dem die Sozialtechnik professionell und diversifiziert wird. Dataminr interpretiert diese Rekrutierung auf weibliche Stimmen als eine berechnete Strategie zur Überwindung von Stereotypen und Vorurteilen bei der menschlichen Erkennung, wodurch es schwieriger für die Betreiber, eine legitime Anwendung von einem schädlichen Betrieb zu unterscheiden. Diese Anpassung ist ein Aufruf zur Aufmerksamkeit: Angreifer nicht nur in den Code, sondern auch in der menschlichen und logistischen Taktik.
Die Schlussfolgerung ist klar und leider vorhersehbar: Moderne Sicherheit erfordert eine Kombination aus nachhaltiger Ausbildung, strengen Prozessen und Technologien, die die Abhängigkeit von Stimme oder SMS-Verifikation reduzieren. Folgen Sie den Forschungs- und Leitlinien von Geheimdiensten und Forschungszentren - wie Einheit 42 oder Mitteilungen Dataminr- hilft, das Muster zu verstehen und vor allem praktische Reaktionen zu entwerfen, die die Angriffsfläche dieser Gruppen reduzieren.
Wenn Ihre Organisation von Telefon-Support-Ausrüstung abhängig ist, ist es jetzt angemessen, zu überprüfen, wer kritische Änderungen billigen kann, wie die Identität des Anrufers validiert wird und welche Zeichen in den Aufzeichnungen eine Suplantation ausgeben können. Die Bedrohung ist real und entwickelt; die beste Antwort ist, mit Schulungen, Verfahren und technischen Kontrollen zu rechnen, die dieses Engagement für die Rekrutierung menschlicher Stimmen für die Angreifer nicht mehr kosteneffizient machen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...