takaisin alkuun
lauantaina 13
kotiuutisetHajallaan olevat hämähäkkihakkerit muuttavat strategiaa: varastaa dataa pilven kautta...

Scattered Spider Hackerin strategian muutos: Datavarkaus pilvisovellusten kautta


Scattered Spider -jengi on alkanut varastaa tietoja ohjelmisto-as-a-service (SaaS) -sovelluksista ja luoda pysyvyyttä luomalla uusia virtuaalikoneita.

Παρακολουθείται επίσης ως Octo Tempest, 0ktapus, Scatter Swine και UNC3944, η συμμορία συνήθως λέκεται σε επιθέσεις κοινωνικής μηχανικής που χρησιμοποιούν phishing SMS, ανταλλαγή SIM και πειρατεία λογαριασμού για πρόσβαση στην εγκατάσταση.

Scattered Spider on nimi, joka on annettu kuvaamaan kyberrikollisten yhteisöä, jotka käyvät usein samoilla Telegram-kanavilla, hakkerointifoorumeilla ja Discord-palvelimilla.

Vaikka on raportoitu, että Scattered Spider on järjestäytynyt jengi, jossa on tiettyjä jäseniä, ryhmä on itse asiassa irrallinen joukko englanninkielisiä (ei välttämättä englanninkielisiä maita) henkilöitä, jotka työskentelevät yhdessä rikkoakseen, varastaakseen tietoja ja kiristääkseen kohteitaan. .

Jotkut heistä työskentelevät useammin yhdessä, mutta ei ole epätavallista vaihtaa jäsentä, jolla on tiettyyn tehtävään sopivat taidot.

Tämänpäiväisessä raportissaan sen kyberturvallisuusyritys Mandiant huomauttaa, että Scattered Spiderin taktiikat, tekniikat ja menettelyt (TTP) ulottuivat pilviinfrastruktuuriin ja SaaS-sovelluksiin tietojen varastamiseksi kiristystä varten ilman salausjärjestelmiä.

”[…] UNC3944 on pääosin kääntynyt tietovarkauksien kiristykseen ilman kiristysohjelmia. Tämä kohdistuksen muutos on johtanut kohdistettujen toimialojen ja organisaatioiden laajentumiseen, kuten Mandiant-tutkimukset osoittavat", tutkijat sanovat.

SaaS-sovelluksiin kohdistuvat hyökkäykset

Scattered Spider luottaa sosiaalisen suunnittelun tekniikoihin, jotka usein kohdistuvat yritysten edustajiin yrittäessään saada ensisijainen käyttöoikeus etuoikeutetulle tilille. Uhkatoimija on hyvin valmistautunut henkilötiedoillaan, virkanimikkeillään ja esimiesten nimillä ohittamaan varmennusprosessit.

Uhkatoimija teeskentelee olevansa laillinen käyttäjä, joka tarvitsee apua monitekijätodennuksen (MFA) nollaamisessa uuden laitteen määrittämiseksi.

Päästyään pääsyn uhrin ympäristöön Scattered Spiderin on havaittu käyttävän vaarantuneeseen tiliin liittyviä Okta-oikeuksia päästäkseen uhrin yrityksen pilvi- ja SaaS-sovelluksiin.

"Tämän oikeuksien eskaloinnin myötä uhkatoimija ei voinut vain väärinkäyttää sovelluksia, jotka hyödyntävät Oktaa kertakirjautumiseen (SSO), vaan myös suorittaa sisäisen todennuksen Okta-verkkoportaalin avulla ja tarkkailla visuaalisesti, mitkä sovellusruudut olivat käytettävissä näiden roolimäärittelyjen jälkeen. "- Pakollinen

Pysymisen vuoksi Scattered Spider luo uusia virtuaalikoneita vSphereen ja Azureen käyttämällä niiden järjestelmänvalvojan oikeuksia ja määrittämällä nämä virtuaalikoneet poistamaan suojaukset käytöstä.

Sitten he poistavat käytöstä Microsoft Defenderin ja muut Windowsin telemetriaominaisuudet, joiden avulla he voivat ottaa käyttöön työkaluja sivuttaisliikenteeseen, kuten Mimikatz ja IMPACKET-kehys, sekä tunnelointiapuohjelmat (NGROK, RSOCX ja Localtonet), jotka mahdollistavat pääsyn ilman VPN:n tai MFA:n tarvetta. todentaminen.

Ο παράγοντας απειλής χρησιμοποιεί νόμιμα εργαλεία συγχρονισμού cloud, όπως τα Airbyte και Fivetran για να μετακινήσει τα δεδομένα των θυμάτων στο αποθηκευτικό τους χώρο στο cloud σε αξιόπιστες υπηρεσίες όπως το Google Cloud Platform (GCP) και το Amazon Web Services (), λένε οι ερευνητές.

Tiedonvientiloki
Tiedonpoistotoiminnan kirjaaminen
Lähde: Mandiant

Mandiant havaitsi Scattered Spiderin pyörimisen erilaisissa SaaS-asiakassovelluksissa tiedontunnistukseen ja louhintaan, mm. vCenter, CyberArk, , Azure, CrowdStrike, AWS, Workday ja GCP.

Esimerkiksi uhkatekijä käytti Microsoft Office 365:n Microsoft Office Delve -haku- ja -etsintätyökalua aktiivisten projektien, kiinnostavien keskustelujen ja luottamuksellisten tietojen paikallistamiseen.

MS365 Delve kysymys
Esimerkki Microsoft Office Delve -kyselystä
Lähde: Mandiant

Lisäksi Scattered Spider käytti päätepisteiden tunnistus- ja vastausratkaisuja (EDR) testatakseen pääsyä ympäristöön. Hyökkääjä loi API-avaimet CrowdStriken ulkoisessa konsolissa ja suoritti sen Kuka olen ja quser komennot saadaksesi lisätietoja sisäänkirjautuneen käyttäjän järjestelmäoikeuksista ja istunnoista etätyöpöytäistuntoisännässä.

Komennot suoritettiin Falconissa
Komennot suoritetaan CrowdStrike Falconissa
Lähde: Mandiant

Mandiant huomasi myös, että Scattered Spider kohdistaa Active Directory Federated Services (ADFS) -palvelun poimimaan varmenteita. Yhdessä Golden SAML -hyökkäyksen kanssa näyttelijä voisi saada jatkuvan pääsyn pilvipohjaisiin sovelluksiin.

Puolustusassoc

Koska paikalliset tietoturvatyökalut ovat enimmäkseen voimattomia poimittaessa tietoja pilvipohjaisista sovelluksista, yritysten tulisi ottaa käyttöön useita havaitsemispisteitä mahdollisen kompromissin havaitsemiseksi.

Mandiant suosittelee keskittymistä SaaS-sovellusten parempaan seurantaan, joka sisältää lokien keräämisen tärkeistä palveluista, MFA-uudelleenilmoittautumiset ja virtuaalikoneen infrastruktuurin, kiinnittäen erityistä huomiota käytettävyyteen ja uusien laitteiden luomiseen.

Isäntäpohjaisten varmenteiden yhdistäminen monivaiheiseen VPN-käyttöoikeuden todentamiseen ja tiukempien käyttöoikeuskäytäntöjen luominen pilvivuokralaisen näkyvyyden hallitsemiseksi ovat toimia, jotka voivat rajoittaa mahdollista hyökkääjää ja kompromissin vaikutuksia.



VIA: bleepingcomputer.com

Marizas Dimitris
Marizas Dimitrishttps://www.techwar.gr
Samsungin matkapuhelimien omistautunut fani Dimitris on kehittänyt erityisen suhteen yrityksen tuotteisiin arvostaen niiden tarjoamaa muotoilua, suorituskykyä ja innovaatioita. Teknisten uutisten kirjoittaminen ja lukeminen ympäri maailmaa.
AIHEESEEN LIITTYVÄT ARTIKKELIT

JÄTÄ VASTAUS

kirjoita kommenttisi!
ole hyvä ja kirjoita nimesi tähän

Suosituin

Viimeiset artikkelit