Η συμμορία Scattered Spider έχει αρχίσει να κλέβει δεδομένα από εφαρμογές λογισμικού ως υπηρεσία (SaaS) και να εδραιώνει την επιμονή δημιουργώντας νέες εικονικές μηχανές.
Παρακολουθείται επίσης ως Octo Tempest, 0ktapus, Scatter Swine και UNC3944, η συμμορία συνήθως εμπλέκεται σε επιθέσεις κοινωνικής μηχανικής που χρησιμοποιούν
phishing
SMS, ανταλλαγή SIM και πειρατεία λογαριασμού για πρόσβαση στην εγκατάσταση.
Το Scattered Spider είναι το όνομα που δόθηκε για να υποδηλώσει μια κοινότητα εγκληματιών του κυβερνοχώρου που συχνάζουν στα ίδια κανάλια Telegram, φόρουμ hacking και διακομιστές Discord.
Ενώ υπάρχουν αναφορές για το Scattered Spider ως οργανωμένη συμμορία με συγκεκριμένα μέλη, η ομάδα είναι στην πραγματικότητα μια χαλαρή συλλογικότητα αγγλόφωνων (όχι απαραίτητα από αγγλόφωνες χώρες) ατόμων που συνεργάζονται για να πραγματοποιήσουν παραβιάσεις, να κλέψουν δεδομένα και να εκβιάσουν τους στόχους τους.
Μερικοί από αυτούς συνεργάζονται πιο συχνά, αλλά δεν είναι ασυνήθιστο να αλλάζουν μέλη που έχουν δεξιότητες κατάλληλες για μια συγκεκριμένη εργασία.
Σε μια σημερινή έκθεση, η εταιρεία κυβερνοασφάλειας της Google Mandiant σημειώνει ότι οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) του Scatttered Spider επεκτάθηκαν σε υποδομές
cloud
και εφαρμογές SaaS για την κλοπή δεδομένων για εκβιασμό χωρίς κρυπτογράφηση συστημάτων.
“[…] Το UNC3944 έχει στραφεί κυρίως στον εκβιασμό κλοπής δεδομένων χωρίς τη χρήση ransomware. Αυτή η αλλαγή στους στόχους έχει επισπεύσει μια επέκταση στοχευμένων βιομηχανιών και οργανισμών, όπως αποδεικνύεται από τις έρευνες Mandiant», λένε οι ερευνητές.
Επιθέσεις σε εφαρμογές SaaS
Το Scattered Spider βασίζεται σε τεχνικές κοινωνικής μηχανικής που συχνά στοχεύουν σε πράκτορες εταιρικής βοήθειας σε μια προσπάθεια να αποκτήσουν αρχική πρόσβαση σε έναν προνομιακό λογαριασμό. Ο παράγοντας απειλής είναι καλά προετοιμασμένος με προσωπικές πληροφορίες, τίτλους εργασίας και ονόματα διευθυντών για να παρακάμψει τις διαδικασίες επαλήθευσης.
Ο παράγοντας απειλής προσποιείται ότι είναι νόμιμος χρήστης που χρειάζεται βοήθεια με την επαναφορά του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για τη ρύθμιση μιας νέας συσκευής.
Μετά την απόκτηση πρόσβασης στο
περιβάλλον
ενός θύματος, το Scattered Spider έχει παρατηρηθεί ότι χρησιμοποιεί δικαιώματα Okta που σχετίζονται με τον παραβιασμένο λογαριασμό για να φτάσει στο cloud και τις εφαρμογές SaaS της εταιρείας του θύματος.
“Με αυτήν την κλιμάκωση των προνομίων, ο παράγοντας απειλής όχι μόνο θα μπορούσε να κάνει κατάχρηση των εφαρμογών που αξιοποιούν το Okta για single sign-on (SSO), αλλά και να πραγματοποιήσει εσωτερική αναγνώριση μέσω της χρήσης της διαδικτυακής πύλης Okta, παρατηρώντας οπτικά ποια πλακίδια εφαρμογών ήταν διαθέσιμα μετά από αυτές τις αναθέσεις ρόλων “-
Mandiant
Για επιμονή, το Scattered Spider δημιουργεί νέες εικονικές μηχανές σε vSphere και Azure, χρησιμοποιώντας τα δικαιώματα διαχειριστή τους και διαμορφώνοντας αυτά τα VM για να απενεργοποιούν τις προστασίες ασφαλείας.
Στη συνέχεια, απενεργοποιούν το
Microsoft
Defender και άλλες δυνατότητες τηλεμετρίας στα Windows που τους επιτρέπουν να αναπτύσσουν εργαλεία για πλευρική κίνηση, όπως το Mimikatz και το πλαίσιο IMPACKET, μαζί με βοηθητικά προγράμματα σήραγγας (NGROK, RSOCX και Localtonet) που επιτρέπουν την πρόσβαση χωρίς την ανάγκη VPN ή επαλήθευση MFA.
Ο παράγοντας απειλής χρησιμοποιεί νόμιμα εργαλεία συγχρονισμού cloud, όπως τα Airbyte και Fivetran για να μετακινήσει τα δεδομένα των θυμάτων στο αποθηκευτικό τους χώρο στο cloud σε αξιόπιστες υπηρεσίες όπως το Google Cloud Platform (GCP) και το Amazon Web Services (AWS), λένε οι ερευνητές.
Δραστηριότητα εξ
αγωγή
ς δεδομένων καταγραφής καταγραφής
Πηγή: Mandiant
Η Mandiant παρατήρησε το Scattered Spider να περιστρέφεται σε διάφορες εφαρμογές πελατών SaaS για αναγνώριση και εξόρυξη δεδομένων, π.χ. vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS, Workday και GCP.
Για παράδειγμα, ο παράγοντας απειλών χρησιμοποίησε το εργαλείο αναζήτησης και εντοπισμού του Microsoft Office Delve για το Microsoft Office 365 για να εντοπίσει ενεργά έργα, συζητήσεις ενδιαφέροντος και εμπιστευτικές πληροφορίες.
Παράδειγμα ερωτήματος Microsoft Office Delve
Πηγή: Mandiant
Επιπλέον, το Scattered Spider χρησιμοποίησε λύσεις ανίχνευσης και απόκρισης τελικού σημείου (EDR) για να δοκιμάσει την πρόσβασή τους στο περιβάλλον. Ο εισβολέας δημιούργησε κλειδιά API στην εξωτερική κονσόλα του CrowdStrike και το εκτέλεσε
ποιός είμαι
και
quser
εντολές για να μάθετε σχετικά με τα δικαιώματα του τρέχοντος συνδεδεμένου χρήστη στο σύστημα και τις περιόδους λειτουργίας σε έναν κεντρικό υπολογιστή συνεδρίας απομακρυσμένης επιφάνειας εργασίας.
Οι εντολές εκτελούνται στο CrowdStrike Falcon
Πηγή: Mandiant
Η Mandiant παρατήρησε επίσης το Scattered Spider που στοχεύει τις Ομοσπονδιακές Υπηρεσίες Active Directory (ADFS) για την εξαγωγή πιστοποιητικών. Σε συνδυασμό με μια επίθεση Golden SAML, ο ηθοποιός θα μπορούσε να αποκτήσει επίμονη πρόσβαση σε εφαρμογές που βασίζονται σε cloud.
Αμυντικές συστάσεις
Δεδομένου ότι τα εργαλεία ασφαλείας εσωτερικής εγκατάστασης είναι ως επί το πλείστον ανίσχυρα όταν πρόκειται για την εξαγωγή δεδομένων από εφαρμογές που βασίζονται σε σύννεφο, οι εταιρείες θα πρέπει να εφαρμόσουν πολλαπλά σημεία ανίχνευσης για να εντοπίσουν έναν πιθανό συμβιβασμό.
Η Mandiant συνιστά να εστιάσετε στην καλύτερη παρακολούθηση των εφαρμογών SaaS που περιλαμβάνει τη συγκέντρωση αρχείων καταγραφής από σημαντικές υπηρεσίες, επανεγγραφές MFA και υποδομή εικονικών μηχανών, δίνοντας ιδιαίτερη προσοχή στο χρόνο λειτουργίας και τη δημιουργία νέων συσκευών.
Ο συνδυασμός πιστοποιητικών που βασίζονται σε κεντρικούς υπολογιστές με έλεγχο ταυτότητας πολλαπλών παραγόντων για πρόσβαση VPN και η δημιουργία αυστηρότερων πολιτικών πρόσβασης για τον έλεγχο του τι είναι ορατό μέσα σε έναν μισθωτή cloud είναι ενέργειες που θα μπορούσαν να περιορίσουν έναν πιθανό εισβολέα και τον αντίκτυπο ενός συμβιβασμού.
VIA:
bleepingcomputer.com
0