Gruparea Scattered Spider a început să fure date din aplicațiile software-as-a-service (SaaS) și să stabilească persistența prin crearea de noi mașini virtuale.
Cunoscută și sub numele de Octo Tempest, 0ktapus, Scatter Swine și UNC3944, gruparea se angajează în mod obișnuit în atacuri de inginerie socială care folosesc phishing-ul prin SMS, schimbul de cartele SIM și confiscarea de conturi pentru acces local.
Scattered Spider este numele dat pentru a denota o comunitate de criminali cibernetici care frecventează aceleași canale de Telegram, forumuri de hacking și servere Discord.
Deși există rapoarte conform cărora Scattered Spider ar fi o bandă organizată cu membri specifici, grupul este de fapt un colectiv slab legat de indivizi vorbitori de limbă engleză (nu neapărat din țări vorbitoare de engleză) care lucrează împreună pentru a efectua încălcări, a fura date și a șantaja țintele lor.
Unii colaborează mai frecvent, dar nu este neobișnuit pentru ei să schimbe între membrii care au abilități potrivite pentru o anumită sarcină.
Într-un raport de astăzi, firma de securitate cibernetică a Google, Mandiant, remarcă că tactica, tehnicile și procedurile (TTPs) ale Scattered Spider s-au extins către infrastructura cloud și aplicațiile SaaS pentru a fura date pentru șantaj fără a cripta sistemele.
„[…] UNC3944 s-a axat în principal pe furtul de date și șantaj fără utilizarea ransomware-ului. Această schimbare de obiective a precipitat o extindere a industiilor și organizațiilor vizate, așa cum reiese din investigațiile Mandiant,” spun cercetătorii.
Scattered Spider se bazează pe tehnici de inginerie socială care vizează adesea agenții de la serviciul de asistență al corporațiilor în încercarea de a obține acces inițial la un cont privilegiat. Amenințarea este bine pregătită cu informații personale, titluri de muncă și nume de manageri pentru a trece de procesele de verificare.
Amenințarea pretinde că este un utilizator legitim care are nevoie de asistență pentru resetarea autentificării multi-factor (MFA) pentru a configura un dispozitiv nou.
După ce obțin acces în mediul unei victime, Scattered Spider a fost observată că folosește permisiunile Okta asociate cu contul compromis pentru a ajunge la cloud-ul companiei victime și la aplicațiile SaaS.
„Prin această escaladare a privilegiilor, amenințarea ar putea nu numai abuza de aplicațiile care folosesc Okta pentru autentificare unică (SSO), ci și efectua recunoașteri interne prin utilizarea portalului web Okta observând vizual ce plăci de aplicații erau disponibile după aceste atribuiri de roluri,” – Mandiant
Pentru persistență, Scattered Spider creează noi mașini virtuale pe vSphere și Azure, folosindu-și privilegiile de administrator și configurând aceste VM-uri pentru a dezactiva protecțiile de securitate.
Apoi, ei dezactivează Microsoft Defender și alte caracteristici de telemetrie în Windows care le permit să implementeze instrumente pentru mișcarea laterală, precum Mimikatz și framework-ul IMPACKET, împreună cu utilitare de tunelare (NGROK, RSOCX și Localtonet) care permit accesul fără a fi necesar VPN sau verificare MFA.
Amenințarea folosește instrumente legitime de sincronizare a cloud-ului precum Airbyte și Fivetran pentru a muta datele victimelor în stocarea lor de cloud pe servicii de renume precum Google Cloud Platform (GCP) și Amazon Web Services (AWS), spun cercetătorii.
Mandiant a observat că Scattered Spider s-a orientat către diverse aplicații client SaaS pentru recunoaștere și extragere de date, de exemplu vCenter, CyberArk, Salesforce, Azure, CrowdStrike, AWS, Workday și GCP.
De exemplu, amenințarea a folosit instrumentul de căutare și descoperire Microsoft Office Delve pentru Microsoft Office 365 pentru a identifica proiecte active, discuții de interes și informații confidențiale.
În plus, Scattered Spider a folosit soluții de detectare și răspuns la endpointuri (EDR) pentru a testa accesul lor în mediu. Atacatorul a creat chei API în consola externă a CrowdStrike și a executat comenzile whoami și quser pentru a afla despre privilegiile utilizatorului conectat în prezent în sistem și sesiunile pe un server de gazdă de sesiuni de desktop la distanță.
Mandiant a observat, de asemenea, că Scattered Spider vizează Active Directory Federated Services (ADFS) pentru a extrage certificate. Cuplat cu un atac Golden SAML, actorul ar putea obține acces persistent la aplicațiile bazate pe cloud.
Deoarece instrumentele de securitate locale sunt în mare parte neputincioase când vine vorba de exfiltrarea datelor din aplicațiile bazate pe cloud, companiile ar trebui să implementeze mai multe puncte de detecție pentru a identifica o posibilă compromitere.
Mandiant recomandă concentrarea pe monitorizarea mai bună a aplicațiilor SaaS care include centralizarea jurnalelor de la serviciile importante, reînregistrările MFA și infrastructura mașinii virtuale, acordând o atenție deosebită timpului de funcționare și creării de dispozitive noi.
Combinarea certificatelor bazate pe gazdă cu autentificarea multi-factor pentru accesul VPN și crearea de politici de acces mai stricte pentru a controla ceea ce este vizibil într-un chiriaș cloud sunt acțiuni care ar putea limita un intrus potențial și impactul unei compromiteri.
Leave a Reply