- За последние шесть месяцев обнаружено более 40 фальшивых доменов, имитирующих Zendesk, используемых для фишинга и мошенничества.
- Подозреваемая преступная группировка Scattered Lapsus$ Hunters ответственна за серию атак на сервисы поддержки, используя поддельные тикеты и трояны для проникновения в корпоративные сети.
- Эти инциденты связаны с крупной кибератакой на Discord и предыдущей кампанией против Salesforce, а также с возможным проникновением в инфраструктуру CrowdStrike через инсайдеров.
Специалисты компании ReliaQuest выявили масштабную кампанию злоумышленников, направленную на компрометацию сервисов поддержки на платформе Zendesk. За последние полгода они зарегистрировали свыше 40 доменов с ошибками в написании имени Zendesk — типичная практика тайпсквоттинга, например, «znedesk.com» или «vpn-zendesk.com». На созданных ресурсах размещены фальшивые страницы для сбора учетных данных пользователей, а также используются для рассылки мошеннических тикетов сотрудникам сервисов поддержки, что позволяет злоумышленникам внедрять вредоносное ПО, в том числе трояны удалённого доступа (RAT).
Анализ указывают на то, что за этой кампанией стоит преступная коалиция Scattered Lapsus$ Hunters — конгломерат из представителей группировок Scattered Spider, ShinyHunters и Lapsus$. Группа уже известна своими масштабными атаками на Salesforce, а также ответственна за взлом системы поддержки Discord в сентябре 2025 года, который ранее рассматривался как единичный инцидент, но теперь связывается с их целенаправленной деятельностью.
Злоумышленники используют сложную методику — размещая фальшивые тикеты на легитимных порталах Zendesk, что позволяет им проводить скрытые вторжения и дальнейшее распространение по корпоративным сетям. Такая деятельность несёт серьёзные риски для утечки интеллектуальной собственности и конфиденциальных данных организаций, использующих платформу с более чем 100 тысячами клиентов.
В подтверждение серьезности угрозы служит недавнее заявление ReliaQuest о возможной связи текущей инфраструктуры злоумышленников с их обещанными в Telegram атаками в 2026 году. Кроме того, стало известно об увольнении в компании CrowdStrike нескольких подозрительных сотрудников, которые могли сотрудничать с данной хакерской коалицией, передавая доступы к внутренним системам и панелям мониторинга.
Эксперты по информационной безопасности советуют организациям тщательно отслеживать активности в своих системах поддержки, усиливать контроль за корпоративными доменами и осуществлять регулярный аудит доступа для своевременного выявления попыток компрометации. На фоне роста активности группировок, контролирующих инфраструктуру служб поддержки, сохранять бдительность становится необходимым элементом корпоративной киберзащиты.
