SCATTERED SPIDER Koriščenje Infrastrukture v Oblaku za Napade na Zavarovalniške in Finančne Sektorje
Kibernetska kriminalna skupina SCATTERED SPIDER je nedavno pritegnila pozornost strokovnjakov za kibernetsko varnost zaradi inovativne uporabe infrastrukture v oblaku za izvajanje sofisticiranih napadov na zavarovalniške in finančne sektorje. Napadalci se poslužujejo taktik socialnega inženiringa, kot sta vishing in smishing, da prevarajo ciljane osebe in pridobijo dostop do njihovih sistemov.
Kompromitiranje Infrastrukture v Oblaku
SCATTERED SPIDER uporablja ukradene poverilnice, zamenjave SIM kartic in različna orodja, ki so naravna za oblak, za vzdrževanje nepooblaščene prisotnosti v sistemih žrtev. Njihovo globoko razumevanje zahodnih poslovnih praks jim je omogočilo sodelovanje s skupino BlackCat, kar je dodatno izboljšalo njihove sposobnosti ciljati na zahodne organizacije.
Skupina uspešno kompromitira infrastrukturo v oblaku z uporabo tactic phishing in smishing za ciljanje visoko privilegiranih računov, predvsem identitetnih administratorjev. Te pogosto zlorabljajo domene, ki vsebujejo tipkarske napake.
Kraja Poverilnic in Avtentikacijskih Žetonov
Analiza je pokazala, da SCATTERED SPIDER uporablja številna orodja za krajo poverilnic, kot je Stealc, za pridobivanje avtentikacijskih žetonov oblačnih storitev. Prav tako se poslužujejo taktike zamenjave SIM kartic, kar jim omogoča zaobid zaščite z večfaktorsko avtentikacijo (MFA).
Skupina zlorablja zakonita orodja za oblak za ustvarjanje nepooblaščenih virtualnih strojev, krajo podatkov in premikanje lateralno znotraj sistema brez odkritja. Telekom Enemies, skupina razvijalcev, kot storitev (DaaS), je identificirana kot dobavitelj teh orodij in storitev, vključno s kompleti za phishing in zlonamerno programsko opremo.
SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon, in PingCastle za zbiranje informacij iz korporacijskih okolij Active Directory, ciljanje na orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, PAM rešitve in osebne informacije znotraj M365.
Trajna Prisotnost v Okoljih v Oblaku
Napadalci z izkoriščanjem funkcije Cross-Tenant Synchronization (CTS) v Microsoft Entra ID vzpostavijo neopažen dostop znotraj kompromitiranih okoljih v oblaku.
S kompromitiranjem privilegiranih računov, vzpostavljanjem sinhronizacije med najemniki in ustvarjanjem zlonamernih računov lahko napadalci prehajajo lateralno med več najemniki in izvajajo različne zlonamerne dejavnosti.
Ponudniki zveznih identitet so prav tako ranljivi za zlorabe, kar omogoča napadalcem, da ustvarijo zlonamerne federativne domene, generirajo ponarejene avtentikacijske žetone in ohranijo trajni dostop tudi po tem, ko so začetni kompromitirani računi onemogočeni.
Izogibanje Odkritju in Vzdrževanje Nadzora
Uporabljajo orodja za daljinski dostop, kot je RMM, in protokolarne tunele za vzdrževanje nadzora nad kompromitiranimi okolji, s tehnikami, kot so rezidenčni proxy strežniki in onemogočanje varnostnih orodij, da bi se izognili odkrivanju.
Z izkoriščanjem varnostnih orodij žrtev in ustvarjanjem virtualnih strojev, vzpostavijo trajno osnovno točko in izvajajo zlonamerne aktivnosti, manipulirajo poštne transportne pravila in ponovno zaganjajo sisteme v varnem načinu za dodatno preprečevanje varnostnih ukrepov.
SCATTERED SPIDER uporablja različne taktike za pridobivanje nepooblaščenega dostopa do Active
