Het beruchte cybercriminaliteitscollectief bekend als Verspreide LAPSUS$-jagers Er is waargenomen dat (SLH) financiële prikkels biedt om vrouwen te rekruteren om social engineering-aanvallen uit te voeren.
Het idee is om ze in te huren voor voice phishing-campagnes gericht op IT-helpdesks, zei Dataminr in een nieuwe bedreigingsbrief. Er wordt gezegd dat de groep vooraf tussen de $ 500 en $ 1.000 per gesprek aanbiedt, naast het verstrekken van de noodzakelijke vooraf geschreven scripts om de aanval uit te voeren.
“SLH diversifieert zijn social engineering-pool door specifiek vrouwen te rekruteren om vishing-aanvallen uit te voeren, wat waarschijnlijk het succespercentage van imitatie van de helpdesk zal vergroten”, aldus het bedrijf voor bedreigingsinformatie.
SLH is een spraakmakende supergroep op het gebied van cybercriminaliteit, bestaande uit LAPSUS$, Scattered Spider en ShinyHunters, en heeft een staat van dienst op het gebied van geavanceerde social engineering-aanvallen om multi-factor authenticatie (MFA) te omzeilen door middel van technieken als MFA-promptbombing en SIM-swapping.
De modus operandi van de groep omvat ook het richten van helpdesks en callcenters op het aanvallen van bedrijven door zich voor te doen als werknemers en hen ervan te overtuigen een wachtwoord opnieuw in te stellen of een tool voor monitoring en beheer op afstand (RMM) te installeren die hen toegang op afstand verleent. Zodra de eerste toegang is verkregen, is waargenomen dat Scattered Spider zich lateraal naar gevirtualiseerde omgevingen begeeft, privileges escaleert en gevoelige bedrijfsgegevens exfiltreert.
Sommige van deze aanvallen hebben verder geleid tot de inzet van ransomware. Een ander kenmerk van deze aanvallen is het gebruik van legitieme diensten en residentiële proxynetwerken (zoals Luminati en OxyLabs) om op te vallen en detectie te omzeilen. Acteurs van verspreide Spider hebben verschillende tunnelingtools gebruikt, zoals Ngrok, Teleport en Pinggy, evenals gratis diensten voor het delen van bestanden, zoals file.io, gofile.io, mega.nz en transfer.sh.
In een rapport dat eerder deze maand werd gepubliceerd, beschreef Palo Alto Networks Unit 42, die Scattered Spider volgt onder de naam Muddled Libra, de bedreigingsacteur als “zeer bedreven in het exploiteren van de menselijke psychologie” door zich voor te doen als werknemers en te proberen wachtwoorden en multi-factor authenticatie (MFA) te resetten.
In ten minste één geval dat het cyberbeveiligingsbedrijf in september 2025 heeft onderzocht, zou Scattered Spider een virtuele machine (VM) hebben gemaakt en gebruikt nadat hij bevoorrechte inloggegevens had verkregen door de IT-helpdesk te bellen en deze vervolgens had gebruikt om verkenningen uit te voeren (bijvoorbeeld Active Directory-opsomming) en te proberen Outlook-mailboxbestanden en gegevens gedownload uit de Snowflake-database van het doelwit te exfiltreren.
“Terwijl deze bedreigingsactoren zich richten op identiteitscompromis en social engineering, maakt hij gebruik van legitieme tools en bestaande infrastructuur om zich aan te passen”, aldus Unit 42. “Ze opereren rustig en behouden volharding.”
Het cyberbeveiligingsbedrijf merkte ook op dat Scattered Spider een “uitgebreide geschiedenis” heeft in het targeten van Microsoft Azure-omgevingen met behulp van de Graph API om de toegang tot Azure-cloudbronnen te vergemakkelijken. Ook gebruikt de groep cloudopsommingstools zoals ADRecon voor Active Directory-verkenning.
Nu social engineering in opkomst is als het belangrijkste toegangspunt voor de groep cybercriminelen, worden organisaties geadviseerd alert te zijn en IT-helpdesk- en ondersteunend personeel op te leiden om op te letten op vooraf geschreven scripts en verfijnde stemimitatie, om strikte identiteitsverificatie af te dwingen, om het MFA-beleid te verscherpen door af te stappen van sms-gebaseerde authenticatie en auditlogboeken voor het aanmaken van nieuwe gebruikers of het escaleren van administratieve bevoegdheden na interacties met de helpdesk.
“Deze rekruteringsactie vertegenwoordigt een berekende evolutie in de tactiek van SLH”, zei Dataminr. “Door specifiek op zoek te gaan naar vrouwenstemmen, wil de groep waarschijnlijk de ’traditionele’ profielen van aanvallers omzeilen die IT-helpdeskmedewerkers mogelijk kunnen identificeren, waardoor de effectiviteit van hun imitatie-inspanningen wordt vergroot.”
