Skupina uporablja ukradene poverilnice, SIM swap in orodja integrirana v oblak, da ohranijo svojo prisotnost. Njihovo globoko razumevanje zahodnih poslovnih praks je omogočilo partnerstvo z BlackCat, kar je povečalo njihovo sposobnost ciljati zahodne organizacije.
Analiza je identificirala tehnike, ki jih SCATTERED SPIDER uporablja za infiltracijo, vztrajnost in izvedbo izsiljevalskih virusov v oblačnih okoljih ter poudarja tveganja, povezana z infrastrukturo v oblaku.
Napadajo infrastrukturo oblaka z izkoriščanjem uhajanih avtentikacijskih žetonov in z lansiranjem phishing in smishing kampanj, tako da ciljajo na visoko privilegirane račune, zlasti tiste od identitetnih administratorjev, z uporabo taktik socialnega inženiringa in domen s tipičnimi napakami.
Uporabljajo phishing strani, ki posnemajo zakonite oblačne platforme, in SMS sporočila za zavajanje žrtev, da razkrijejo svoje poverilnice, kar jim omogoča nepooblaščen dostop do oblačnih sistemov in potencialno izvedbo nadaljnjih napadov.
Kiberkriminalna skupina izkorišča ukradna orodja za zbiranje poverilnic, kot je Stealc, za zbiranje avtentikacijskih žetonov v oblačnih storitvah in zaobide MFA zaščitne ukrepe preko tehnik SIM zamenjave, ki se prodajajo na podzemnih forumih, kar napadalcem omogoča dostop do oblačnih virov in SaaS aplikacij.
Skupina zlorablja zakonita orodja v oblaku za ustvarjanje nepooblaščenih virtualnih strojev, krajo podatkov in premikanje po omrežju brez zaznavanja. Analitiki EclecticIQ so identificirali Telekom Enemies, DaaS skupino, kot dobavitelja orodij in storitev, ki jih uporablja SCATTERED SPIDER, vključno s phishing kompleti in zlonamerno programsko opremo.
SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon in PingCastle za zbiranje informacij iz korporativnega Active Directory s ciljanjem na orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, PAM rešitve in osebne podatke znotraj M365.
Prav tako iščejo podatke tretjih oseb in informacije, povezane z izsiljevanjem. Z izkoriščanjem Cross-Tenant Synchronization (CTS) v Microsoft Entra ID vzpostavi vztrajnost in neopažen dostop znotraj kompromitiranih oblačnih okolij.
Napadalci lahko izkoriščajo nastavitve meddejanskih dostopov in federirane identitetne ponudnike za pridobitev vztrajnega dostopa do oblačnih okolij. S kompromitiranimi privilegiranimi računi, vzpostavitvijo sinhronizacije med najemniki in ustvarjanjem zlonamernih računov lahko napadalci prehajajo med različnimi najemniki in izvajajo različne zlonamerne aktivnosti.
Federirani identitetni ponudniki so prav tako ranljivi za zlorabo, kar omogoča napadalcem ustvarjanje zlonamernih federiranih domen, ustvarjanje ponarejenih avtentikacijskih žetonov in vzdrževanje vztrajnega dostopa tudi po prvotnem onemogočenju kompromitiranih računov.
Uporabljajo orodja za oddaljen dostop, kot sta RMM in protokolarno tuneliranje, da ohranijo nadzor nad kompromitiranimi okolji z uporabo tehnik, kot so rezidenčni proxyji in onemogočanje varnostnih orodij za izogibanje zaznavanju.
Z izkorišč
