Team Cymru publie une analyse approfondie des attaques de Scattered Spider, couvrant 2024-2025, afin d’aider les défenseurs à détecter et perturber plus tôt leurs opérations.

• Contexte et impact: Scattered Spider, groupe cybercriminel anglophone lié à la communauté « TheCom », a été pointé par le FBI (Sleuthcon 2024) pour de multiples intrusions à fort impact. Des incidents notables incluent MGM Resorts (ALPHV/BlackCat) avec un coût de 100 M$, Marks & Spencer (DragonForce) avec une perte estimée de £300 M, ainsi que des attaques contre Co-op et Harrods en 2025 attribuées par les experts de Google. Le groupe est suivi sous divers alias (UNC3944, 0ktapus, Octo Tempest, Scatter Swine, Muddled Libra).

• Capacités et TTPs clés: Affiliés RaaS russophones (ALPHV/BlackCat, Qilin, RansomHub, DragonForce), les opérateurs s’appuient fortement sur l’ingénierie sociale pour l’accès initial (appels aux helpdesks pour réinitialisation de mots de passe ou installation d’outils RMM), des campagnes SMS de phishing SSO et le SIM swapping. Une fois l’accès obtenu, ils testent les apps intégrées SSO, se déplacent latéralement vers des environnements virtualisés (VMware ESXi, VMs cloud), puis exfiltrent des données et déploient un ransomware.

• Infrastructure et défis de détection: Les attaques s’appuient sur des services légitimes à forte réputation — VPN grand public, tunneling web, sites de partage de fichiers/paste, proxies résidentiels, serveurs d’infostealers, outils RMM, domaines SSO typosquattés — ce qui les camoufle dans le trafic normal. La nature partagée et réutilisée de ces infrastructures rend les blocages basés sur des IP/URL individuelles risqués et à fort taux de faux positifs, d’où la nécessité d’une analyse comportementale et de contexte pour distinguer les usages malveillants.

• IOCs / Infrastructure observée 🧭:

  • VPN grand public: Mullvad, NordVPN, ExpressVPN.
  • Tunneling: ngrok.io, teleport.sh, pinggy.click.
  • Partage de fichiers / paste: file.io, paste.ee, gofile.io, storjshare.io, temp.sh, put.io, transfer.sh, shz.al, mega.nz.
  • Proxies résidentiels: Luminati, OxyLabs.
  • Infostealers: RedLine, Raccoon, Lumma, Warzone RAT, Vidar, Rhadamanthys, Stealc.
  • Outils RMM: AnyDesk, TeamViewer.
  • Patterns de domaines SSO: typosquatting autour de sso, okta, DUO, PingID; recours à Njalla (nameservers), BitLaunch (VPS) et DigitalOcean (via BitLaunch). ASN cités: 399629, 14061.

• Détection et renseignement Team Cymru 🔎: Avec Pure Signal Scout, les analystes obtiennent du contexte en temps réel (tags comportementaux pour proxies/VPN/RMM/partage de fichiers/tunnels/paste), de l’enrichissement de logs (SIEM/TIP) et de l’automatisation SOAR. Le flux Pure Signal Insights fournit des classifications massives (fingerprinting) avec catégories de risqueMalicious, Suspicious, General — et une livraison STIX 2.1/TAXII pour intégration et blocage proactifs. La conclusion souligne que la contexte + analytics comportementale est essentielle face à une infrastructure partagée et que l’analyse vise à aider la détection précoce et la perturbation des campagnes.

Type d’article: analyse de menace centrée sur l’infrastructure et les TTPs, avec des requêtes et tags pour la chasse et l’automatisation.

🧠 TTPs et IOCs détectés

TTP

Ingénierie sociale pour accès initial, campagnes SMS de phishing SSO, SIM swapping, test des applications SSO intégrées, déplacement latéral vers environnements virtualisés (VMware ESXi, VMs cloud), exfiltration de données, déploiement de ransomware, utilisation de services légitimes pour camoufler le trafic, typosquatting de domaines SSO.

IOC

VPN: Mullvad, NordVPN, ExpressVPN; Tunneling: ngrok.io, teleport.sh, pinggy.click; Partage de fichiers/paste: file.io, paste.ee, gofile.io, storjshare.io, temp.sh, put.io, transfer.sh, shz.al, mega.nz; Proxies résidentiels: Luminati, OxyLabs; Infostealers: RedLine, Raccoon, Lumma, Warzone RAT, Vidar, Rhadamanthys, Stealc; Outils RMM: AnyDesk, TeamViewer; Patterns de domaines SSO: typosquatting autour de sso, okta, DUO, PingID; ASN: 399629, 14061.

🔗 Source originale : https://www.team-cymru.com/post/scattered-spider-attacks-infrastructure-profile