SCATTERED SPIDER, skupina za izsiljevalsko programsko opremo, izkorišča infrastrukturo v oblaku za ciljanje na sektorje zavarovalništva in financ s pomočjo taktik socialnega inženiringa, kot sta vishing in smishing, za prevaro tarč in pridobitev dostopa do njihovih sistemov.
Skupina uporablja ukradene poverilnice, zamenjavo SIM kartic in orodja, ki so naravna za oblak, za vzdrževanje prisotnosti, saj jim je njihovo globoko razumevanje zahodnih poslovnih praks olajšalo partnerstvo z BlackCat, kar jim je izboljšalo sposobnost ciljati zahodne organizacije.
Analiza je identificirala tehnike, ki jih uporablja SCATTERED SPIDER za infiltracijo, vzdrževanje prisotnosti in izvedbo izsiljevalske programske opreme v okolju oblaka, pri čemer so izpostavljena tveganja, povezana z infrastrukturo v oblaku.
Kompromitira infrastrukturo oblaka z izkoriščanjem razkritih avtorizacijskih žetonov in lansiranjem kampanj phishing in smishing s ciljanjem na račune z visokimi pooblastili, zlasti račune administratorjev identitete, ter uporabo taktik socialnega inženiringa in domen tipkarske prevare.
Skupina uporablja phishing strani, ki posnemajo legitimne oblačne platforme, in SMS sporočila, da zavaja žrtve in pridobi njihove poverilnice, kar jim omogoča nepooblaščen dostop do sistemov oblaka in potencialno izvedbo nadaljnjih napadov.
Kibernetska zločinska skupina izkorišča kradljivce poverilnic, kot je Stealc, za pridobivanje avtorizacijskih žetonov oblačnih storitev in zaobide zaščite MFA s tehnikami zamenjave SIM kartic, ki se prodajajo na podzemnih forumih, kar napadalcem omogoča dostop do oblačnih virov in SaaS aplikacij.
Skupina zlorablja legitimna oblačna orodja za ustvarjanje nepooblaščenih VM, krajo podatkov in gibanje po omrežju neopaženo. Analitiki EclecticIQ so identificirali Telecom Enemies, skupino DaaS, kot dobavitelja orodij in storitev, ki jih uporablja SCATTERED SPIDER, vključno s phishing kompleti in zlonamerno programsko opremo.
SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon in PingCastle, za zbiranje informacij iz korporativnih Active Directory ciljnih sistemov. S temi informacijami cilja orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, rešitve PAM in osebne informacije znotraj M365.
Prav tako iščejo podatke tretjih oseb in informacije povezane z izsiljevanjem. S pomočjo sinhronizacije prek najemnikov (CTS) v Microsoft Entra ID, vzpostavijo prisotnost in neopaženi dostop v kompromitiranem oblačnem okolju.
Napadalci lahko izkoriščajo nastavitve sinhronizacije prek najemnikov in ponudnikov federiranih identitet za pridobitev vztrajnega dostopa do oblačnih okolij. S kompromitacijo privilegiranih računov, vzpostavljanjem sinhronizacije med najemniki in ustvarjanjem zlonamernih računov, lahko napadalci premikajo lateralno med več najemniki in izvajajo različne zlonamerne dejavnosti.
Ponudniki federiranih identitet so prav tako ranljivi za zlorabe, kar napadalcem omogoča ustvarjanje zlonamernih federiranih domen, ustvarjanje ponarejenih avtorizacijskih žetonov in vzdrževanje prisotnega dostopa tudi po tem, ko so začetni kompromitirani računi onemogočeni.
Izkoristi oddaljena dostopna orodja, kot sta RMM in protokolski predor, za vzdrževanje nadzora nad kompromitiranimi okolji s pomočjo tehnik kot so rezidenčni posredniki in onemogočajo varnostna orodja za izogibanje zaznavanju.