Дослідники ReliaQuest виявили нову кампанію, яка, ймовірно, пов’язана з групою загроз «Scattered Lapsus$ Hunters», яка охоплює понад 40 доменів, які володіють типосквотом, які видають себе за легітимне середовище Zendesk.
До фейкових доменів, зареєстрованих за останні півроку, відносяться нізвідки[.]ком і vpn-zendesk[.]комякі дуже схожі на автентичні URL-адреси Zendesk.
Багато з цих сайтів розміщують фішингові сторінки та підроблені портали єдиного входу (SSO), призначені для викрадення облікових даних для входу в нічого не підозрюючих користувачів.
Деякі домени також поєднують корпоративні назви з брендом Zendesk, щоб виглядати більш автентичними, змушуючи жертв вводити конфіденційну інформацію.
ReliaQuest відзначив узгоджені технічні особливості в усіх доменах, включаючи реєстрацію через NiceNic, контактну інформацію США та Великобританії та замасковані сервери імен Cloudflare.
Ці деталі точно збігаються з даними попередньої кампанії, яка була націлена на Salesforce у серпні 2025 року, посилюючи атрибуцію Scattered Lapsus$ Hunters.
Розширення стратегії атаки на ланцюг поставок
Отримані дані свідчать про ширшу кампанію Scattered Lapsus$ Hunters для використання підтримки клієнтів і платформ SaaS.
Останні дії віддзеркалюють попередні атаки на платформи Salesforce, Salesloft, Drift і Gainsight, які широко використовуються на підприємствах для керування даними клієнтів і наданням послуг.
За даними ReliaQuest, зловмисники, ймовірно, подають шахрайські квитки в законні служби підтримки на базі Zendesk.
Ці фальшиві запити на підтримку містять посилання або вкладені файли, що ведуть до троянів віддаленого доступу (RAT) та іншого зловмисного програмного забезпечення, що потенційно може зашкодити ІТ-спеціалістам або персоналу служби підтримки клієнтів. Опинившись усередині, зловмисники можуть переміщатися всередині мережі, щоб викрасти дані або підвищити привілеї.
Повідомлення групи в Telegram від листопада 2025 року натякали на численні поточні кампанії, посилаючись на «3–4 операції», заплановані на початок 2026 року. Це свідчить про те, що діяльність Zendesk може бути одним із кількох паралельних заходів, націлених на ланцюги поставок SaaS.
Захисні рекомендації
ReliaQuest підкреслив необхідність розглядати платформи підтримки клієнтів, такі як Zendesk, як критичну інфраструктуру.
Фірма рекомендує застосувати багатофакторну автентифікацію за допомогою апаратних маркерів, списку дозволених IP-адрес і тайм-аутів сеансів для всіх адміністративних облікових записів.
Організаціям також слід відстежувати записи DNS для нових реєстрацій доменів, що імітують Zendesk або внутрішні угоди про іменування.
Використання інструментів захисту від цифрових ризиків (DRP), таких як платформа GreyMatter від ReliaQuest, може надавати завчасні сповіщення про домени, які зазнали помилок, що дозволяє швидше блокувати дії.
Правила виявлення та автоматичні методи реагування, як-от припинення сеансів, дезактивація зламаних облікових записів і сканування постраждалих хостів, можуть ще більше скоротити час перебування зловмисника після фішингу або компрометації облікових даних.
Кампанія Scattered Lapsus$ Hunters підкреслює, що платформи підтримки клієнтів тепер є ціллю високої цінності.
Команди безпеки повинні уважно стежити за цими системами та готуватися до все більш складної соціальної інженерії та багатовекторних загроз із наближенням 2026 року.
Знайдіть цю історію цікавою! Слідкуйте за нами в Google News, LinkedIn і X, щоб отримувати більше миттєвих оновлень
