Scattered Lapsus$ Hunters利用仿冒域名攻击Zendesk用户

研究人员发现，网络犯罪团伙Scattered Lapsus$ Hunters通过40多个仿冒域名针对Zendesk用户发起攻击，旨在窃取凭证并植入恶意软件。

这些在過去六個月註冊的仿冒域名，其設置與該網絡犯罪团伙在八月對Salesforce發動攻擊時使用的域名相同。根據本週由ReliaQuest研究人員（他們發現了此次活動）發布的博客文章，這表明該团伙已將注意力轉向Zendesk——一個被超過10萬家組織使用的客戶支持平台。

ReliaQuest表示，一些域名，如znedesk[.]com和vpn-zendesk[.]com，託管了看起來像真實Zendesk登錄屏幕的偽造登錄頁面。其他域名則在網址中加入了公司名稱，使網站看起來合法。研究人員寫道：「我們還發現了包含多個不同組織名稱或品牌的Zendesk相關仿冒域名，這使得毫無戒心的用戶更有可能信任並點擊這些鏈接。」

所有這些域名都是通過NiceNic註冊的，聯繫人信息顯示在美國和英國，並使用了Cloudflare掩護的名稱服務器——這與ReliaQuest在Salesforce攻擊活動中觀察到的模式相同。

Scattered Lapsus$ Hunters是一個由三個獨立的網絡犯罪團伙（Scattered Spider、Lapsus$和ShinyHunters）於2025年8月組成的聯盟。自成立以來，該聯盟在八月和十月發起了一場重大的Salesforce攻擊活動，暴露了包括豐田、聯邦快遞和迪士尼在內的數十家公司的數據。

虚假支持工单攻击服务台

除了仿冒域名，攻擊者還向真實的Zendesk門戶提交了虛假工單。這些工單偽裝成緊急的IT請求或密碼重置，旨在欺騙服務台工作人員下載惡意軟件或交出他們的登錄憑據。

「用這類策略針對服務台團隊，通常涉及精心設計的藉口，比如緊急系統管理請求或虛假的密碼重置查詢，」ReliaQuest寫道。「目的是欺騙支持人員交出憑據或使其終端設備受到危害。」研究人員表示，服務台人員是理想的目標，因為他們通常可以訪問組織內的許多系統，這使得單個受入侵的賬戶對攻擊者來說特別有價值。

Scattered Lapsus$ Hunters有使用社會工程學入侵服務台的歷史。該团伙精通於呼叫企業服務台並冒充員工，以欺騙支持人員重置密碼並將未經授權的設備添加到多因素認證系統中，安全公司在之前對航空公司和零售商的攻擊中記錄了這些策略。

Discord数据泄露事件可能有关联

Zendesk攻擊活動可能不是孤立事件。Discord在10月9日表示，攻擊者入侵了其客戶服務提供商5CA，暴露了大約7萬名提交政府身份證件進行年齡驗證的用戶數據。該入侵還暴露了曾聯繫Discord客戶支持或信任與安全團隊的用戶的工單數據。

ReliaQuest表示，Zendesk攻擊活動很可能是Scattered Lapsus$ Hunters在十一月初的Telegram帖子中承諾的幾次攻擊之一。根據研究人員的說法，Scattered Lapsus$ Hunters最初否認參與Discord攻擊，但後來在Telegram上發帖稱他們知道誰該負責。

研究人員引用該团伙的信息寫道：「等待2026年，我們目前正在運行3-4個活動。所有事件響應人員都應該在即將到來的假期直到2026年1月期間上班盯著他們的日誌，因為#ShinyHuntazz要來收集你們的客戶數據庫了。」該团伙還聲稱在本月初入侵了客戶成功平台Gainsight。ReliaQuest說：「從現實角度看，Zendesk很可能是Telegram上承諾的這些活動目標中的第二個。」

模仿者的可能性

雖然基礎設施模式指向Scattered Lapsus$ Hunters，但ReliaQuest在博客文章中指出，不能排除受該团伙成功啟發的模仿者。

研究人員寫道：「Zendesk定向攻擊和類似供應鏈攻擊的成功激發了模仿者或Scattered Lapsus$ Hunters的分裂團體，這也是一種現實的可能性。我們以前見過這種模式，比如Black Basta，即使在執法部門打擊了原始組織後，其後繼團體仍繼續使用相同的攻擊腳本。」研究人員表示，客戶支持平台是很好的目標，因為公司通常不像監控電子郵件那樣密切監控它們，但它們卻能讓攻擊者獲取許多組織的憑據和客戶數據。

儘管Scattered Lapsus$ Hunters在九月份宣布「轉入地下」並關閉運營，但據稱來自該团伙的Telegram帖子顯示，其後來承諾將在2026年回歸，並推出一個新的基於訂閱的「勒索軟件即服務」平台。

ReliaQuest表示已與Zendesk分享了其發現。Zendesk沒有立即回應CSO的置評請求。