- 22,450
- 46
- 8 Ноя 2022
Группировка Scattered Lapsus$ Hunters наращивает кампанию: под огнём снова SaaS-платформы и их ничего не подозревающие операторы.
Специалисты ReliaQuest обнаружили более 40 фейковых доменов, маскирующихся под порталы Zendesk, и связывают их с киберпреступной группировкой Scattered Lapsus$ Hunters. Домены используют фишинговые страницы с поддельными SSO-формами и, судя по всему, становятся частью новой масштабной кампании против пользователей популярной платформы поддержки клиентов.
По данным ReliaQuest, за последние шесть месяцев злоумышленники зарегистрировали десятки typosquatting -доменов, которые лишь на одну-две буквы отличаются от настоящего Zendesk: например, znedesk[.]com или <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">vpn</span>-zendesk[.]com. Некоторые адреса комбинируют в URL название Zendesk с именами разных компаний, что делает ссылки визуально «знакомыми» и повышает шансы, что сотрудник техподдержки или клиент кликнет по ним, не заметив подвох. На части таких сайтов размещены поддельные страницы единого входа, которые показываются до настоящей формы авторизации Zendesk и незаметно собирают логины и пароли.
ReliaQuest отмечает, что у выявленных доменов совпадают технические детали: регистрация через NiceNic, контактные данные в США и Великобритании и nameserver'ы, скрытые за Cloudflare. Такой «отпечаток» уже встречался в августовской кампании против CRM-платформы Salesforce, также приписываемой Scattered Lapsus$ Hunters , где использовались похожие поддельные SSO-страницы и искажение доменных имён.
Опасность ограничивается не только кражей учётных данных через веб-страницы. Исследователи указывают, что через легитимные порталы Zendesk разных организаций, скорее всего, массово отправляются поддельные тикеты. Такие обращения маскируются под срочные запросы администрирования, проблемы с оплатой или восстановление пароля, но содержат ссылки или вложения с вредоносным ПО — например, remote access trojan (RAT). Если сотрудник поддержки открывает вложение или переходит по ссылке, злоумышленники получают точку опоры в корпоративной сети, откуда могут развивать атаку, проводить разведку, двигаться по внутренним сегментам и в конечном итоге устраивать масштабный компромисс систем.
Нынешняя активность ложится в уже знакомый паттерн. В сентябре 2025 года Discord сообщил о компрометации своей системы поддержки на базе Zendesk: утекли имена, адреса e-mail, платёжные данные, IP-адреса и даже копии документов, удостоверяющих личность. Теперь ReliaQuest предполагает, что тот инцидент был частью более широкого курса на атаки через инфраструктуру Zendesk. Группировка прямо намекает на это в своём Telegram: участники хвастались, что «готовят 3–4 кампании одновременно» и предлагали специалистам по реагированию «не уходить с дежурств до января 2026 года, потому что #ShinyHuntazz идёт за вашими базами клиентов».
Сами Scattered Lapsus$ Hunters в последние месяцы демонстрируют устойчивое внимание к крупным SaaS-платформам. Помимо Salesforce, им приписывают атаки на инструменты Salesloft и Drift для работы с лид-генерацией, а также на платформу клиентского успеха Gainsight в ноябре 2025 года. Такой подход укладывается в «классический учебник» по supply-chain-атакам : взлом одного облачного сервиса открывает дорогу к данным десятков или сотен его корпоративных клиентов. При этом аналитики допускают, что на фоне громких успехов могли появиться подражатели или отколовшиеся команды, которые используют те же техники и инфраструктуру.
Отдельный риск в том, что платформы поддержки — такие как Zendesk — часто воспринимаются как вспомогательные инструменты и контролируются слабее, чем почтовые шлюзы или VPN. Между тем через них проходят чувствительные данные клиентов, они интегрированы с корпоративными CRM, биллингом и внутренними системами. Комбинация внешних фишинговых доменов и внутренних поддельных тикетов превращает такие сервисы в полноценную часть атаки: угрозы приходят как извне, так и «изнутри» уже используемого канала коммуникации с клиентами.
ReliaQuest призывает компании относиться к Zendesk и аналогичным платформам как к критически важной инфраструктуре и усиливать защиту админских и операторских аккаунтов. В первую очередь речь идёт о строгой многофакторной аутентификации с использованием аппаратных ключей, IP-allowlist для доступа к консоли поддержки и жёстких политиках автоматического завершения сессий, особенно во время чувствительных операций. Это повышает стоимость атаки для злоумышленников и усложняет дальнейшее продвижение по сети даже при частичной компрометации учётных записей.
Второе направление — работа с доменной инфраструктурой. ReliaQuest рекомендует внедрять мониторинг регистрации доменов, похожих на корпоративные или на адреса Zendesk, и автоматически фильтровать DNS-запросы к подозрительным зонам. Подходы класса Digital Risk Protection (DRP) позволяют оперативно получать уведомления о появлении новых typosquatting-доменов, блокировать их на уровне сети и предупреждать сотрудников до того, как начнётся активная фишинговая кампания. Быстрое обнаружение характерных паттернов регистрации даёт компаниям несколько критически важных часов или дней форы.
Третье — жёсткий контроль коммуникаций через сам Zendesk. Организациям советуют ограничить круг сотрудников, которые могут получать прямые сообщения через чат, а также внедрить фильтры контента, отслеживающие фишинговые ссылки, нетипичные запросы учётных данных и другие признаки социальной инженерии . Это снижает шансы, что очередной «срочный административный тикет» пройдёт незамеченным и приведёт к заражению рабочего места оператора.
Наконец, внедрение сценариев автоматизированного реагирования: немедленное завершение всех активных сессий и принудительная смена паролей после подозрительной активности, запуск расширенного сканирования хостов, на которые могли попасть вредоносные вложения, и оперативное отключение скомпрометированных учётных записей для блокировки бокового перемещения. По оценке компании, сочетание таких правил детектирования с playbook'ами сокращает среднее время локализации атаки до минут и помогает минимизировать последствия социальных и технических атак на службы поддержки.
На этом фоне специалисты ожидают, что Scattered Lapsus$ Hunters и их возможные «наследники» не откажутся от Zendesk и других платформ поддержки в 2026 году. Для компаний, которые используют эту платформу, сейчас самое время пересмотреть настройки доступа, мониторинг доменов и процессы работы с тикетами — особенно в период праздников, который злоумышленники традиционно выбирают для атак на уставшие команды безопасности.
Специалисты ReliaQuest обнаружили более 40 фейковых доменов, маскирующихся под порталы Zendesk, и связывают их с киберпреступной группировкой Scattered Lapsus$ Hunters. Домены используют фишинговые страницы с поддельными SSO-формами и, судя по всему, становятся частью новой масштабной кампании против пользователей популярной платформы поддержки клиентов.
По данным ReliaQuest, за последние шесть месяцев злоумышленники зарегистрировали десятки typosquatting -доменов, которые лишь на одну-две буквы отличаются от настоящего Zendesk: например, znedesk[.]com или <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">vpn</span>-zendesk[.]com. Некоторые адреса комбинируют в URL название Zendesk с именами разных компаний, что делает ссылки визуально «знакомыми» и повышает шансы, что сотрудник техподдержки или клиент кликнет по ним, не заметив подвох. На части таких сайтов размещены поддельные страницы единого входа, которые показываются до настоящей формы авторизации Zendesk и незаметно собирают логины и пароли.
ReliaQuest отмечает, что у выявленных доменов совпадают технические детали: регистрация через NiceNic, контактные данные в США и Великобритании и nameserver'ы, скрытые за Cloudflare. Такой «отпечаток» уже встречался в августовской кампании против CRM-платформы Salesforce, также приписываемой Scattered Lapsus$ Hunters , где использовались похожие поддельные SSO-страницы и искажение доменных имён.
Опасность ограничивается не только кражей учётных данных через веб-страницы. Исследователи указывают, что через легитимные порталы Zendesk разных организаций, скорее всего, массово отправляются поддельные тикеты. Такие обращения маскируются под срочные запросы администрирования, проблемы с оплатой или восстановление пароля, но содержат ссылки или вложения с вредоносным ПО — например, remote access trojan (RAT). Если сотрудник поддержки открывает вложение или переходит по ссылке, злоумышленники получают точку опоры в корпоративной сети, откуда могут развивать атаку, проводить разведку, двигаться по внутренним сегментам и в конечном итоге устраивать масштабный компромисс систем.
Нынешняя активность ложится в уже знакомый паттерн. В сентябре 2025 года Discord сообщил о компрометации своей системы поддержки на базе Zendesk: утекли имена, адреса e-mail, платёжные данные, IP-адреса и даже копии документов, удостоверяющих личность. Теперь ReliaQuest предполагает, что тот инцидент был частью более широкого курса на атаки через инфраструктуру Zendesk. Группировка прямо намекает на это в своём Telegram: участники хвастались, что «готовят 3–4 кампании одновременно» и предлагали специалистам по реагированию «не уходить с дежурств до января 2026 года, потому что #ShinyHuntazz идёт за вашими базами клиентов».
Сами Scattered Lapsus$ Hunters в последние месяцы демонстрируют устойчивое внимание к крупным SaaS-платформам. Помимо Salesforce, им приписывают атаки на инструменты Salesloft и Drift для работы с лид-генерацией, а также на платформу клиентского успеха Gainsight в ноябре 2025 года. Такой подход укладывается в «классический учебник» по supply-chain-атакам : взлом одного облачного сервиса открывает дорогу к данным десятков или сотен его корпоративных клиентов. При этом аналитики допускают, что на фоне громких успехов могли появиться подражатели или отколовшиеся команды, которые используют те же техники и инфраструктуру.
Отдельный риск в том, что платформы поддержки — такие как Zendesk — часто воспринимаются как вспомогательные инструменты и контролируются слабее, чем почтовые шлюзы или VPN. Между тем через них проходят чувствительные данные клиентов, они интегрированы с корпоративными CRM, биллингом и внутренними системами. Комбинация внешних фишинговых доменов и внутренних поддельных тикетов превращает такие сервисы в полноценную часть атаки: угрозы приходят как извне, так и «изнутри» уже используемого канала коммуникации с клиентами.
ReliaQuest призывает компании относиться к Zendesk и аналогичным платформам как к критически важной инфраструктуре и усиливать защиту админских и операторских аккаунтов. В первую очередь речь идёт о строгой многофакторной аутентификации с использованием аппаратных ключей, IP-allowlist для доступа к консоли поддержки и жёстких политиках автоматического завершения сессий, особенно во время чувствительных операций. Это повышает стоимость атаки для злоумышленников и усложняет дальнейшее продвижение по сети даже при частичной компрометации учётных записей.
Второе направление — работа с доменной инфраструктурой. ReliaQuest рекомендует внедрять мониторинг регистрации доменов, похожих на корпоративные или на адреса Zendesk, и автоматически фильтровать DNS-запросы к подозрительным зонам. Подходы класса Digital Risk Protection (DRP) позволяют оперативно получать уведомления о появлении новых typosquatting-доменов, блокировать их на уровне сети и предупреждать сотрудников до того, как начнётся активная фишинговая кампания. Быстрое обнаружение характерных паттернов регистрации даёт компаниям несколько критически важных часов или дней форы.
Третье — жёсткий контроль коммуникаций через сам Zendesk. Организациям советуют ограничить круг сотрудников, которые могут получать прямые сообщения через чат, а также внедрить фильтры контента, отслеживающие фишинговые ссылки, нетипичные запросы учётных данных и другие признаки социальной инженерии . Это снижает шансы, что очередной «срочный административный тикет» пройдёт незамеченным и приведёт к заражению рабочего места оператора.
Наконец, внедрение сценариев автоматизированного реагирования: немедленное завершение всех активных сессий и принудительная смена паролей после подозрительной активности, запуск расширенного сканирования хостов, на которые могли попасть вредоносные вложения, и оперативное отключение скомпрометированных учётных записей для блокировки бокового перемещения. По оценке компании, сочетание таких правил детектирования с playbook'ами сокращает среднее время локализации атаки до минут и помогает минимизировать последствия социальных и технических атак на службы поддержки.
На этом фоне специалисты ожидают, что Scattered Lapsus$ Hunters и их возможные «наследники» не откажутся от Zendesk и других платформ поддержки в 2026 году. Для компаний, которые используют эту платформу, сейчас самое время пересмотреть настройки доступа, мониторинг доменов и процессы работы с тикетами — особенно в период праздников, который злоумышленники традиционно выбирают для атак на уставшие команды безопасности.
- Источник новости
- www.securitylab.ru
