Οι χάκερ Scattered Spider οι οποίοι έχουν οικονομικά κίνητρα παραβιάζουν τους παρόχους τηλεπικοινωνιακών υπηρεσιών και τις εταιρείες εξωτερικής ανάθεσης επιχειρηματικών διαδικασιών, αντιστρέφοντας ενεργά τους defensive mitigations που εφαρμόζονται όταν εντοπίζεται η παραβίαση.
Η Crowdstrike εντόπισε την καμπάνια και λέει ότι ξεκίνησε τον Ιούνιο του 2022. Η ερευνητική ομάδα μπορεί να εντοπίσει μέχρι στιγμής πέντε διαφορετικά hacks, αλλά πιστεύει ότι τώρα πραγματοποιούνται ακόμη περισσότερα.
Οι επιθέσεις, οι οποίες πραγματοποιήθηκαν από τους χάκερ “Scattered Spider”, δείχνουν ότι οι χάκερ διατηρούν persistence στην διαδικασία πρόσβασης, αντιστρέφουν τα μέτρα mitigations, αποφεύγουν την ανίχνευση και στρέφονται σε άλλους έγκυρους στόχους, εάν εμποδιστούν.
Ο απώτερος στόχος της καμπάνιας είναι η παραβίαση των συστημάτων τηλεπικοινωνιακών δικτύων, η πρόσβαση σε πληροφορίες συνδρομητών και η διεξαγωγή λειτουργιών όπως το SIM swapping.
Δείτε επίσης: Σοβαρές ευπάθειες AMI MegaRAC επηρεάζουν τους servers πολλών εταιρειών
Δείτε επίσης: Google Chrome update: Διορθώνει το 9ο zero-day της χρονιάς
Λεπτομέρειες της καμπάνιας
Οι χάκερ καταφέρνουν να εισέλθουν στα συστήματα ηλεκτρονικών υπολογιστών των εταιρειών χρησιμοποιώντας διάφορα τεχνάσματα social engineering.
Αυτές οι τακτικές περιλαμβάνουν την κλήση των υπαλλήλων και την πλαστοπροσωπία του προσωπικού IT για τη συλλογή credential ή τη χρήση μηνυμάτων Telegram και SMS για ανακατεύθυνση στόχων σε προσαρμοσμένους ιστότοπους ηλεκτρονικού ψαρέματος που διαθέτουν το λογότυπο της εταιρείας.
Εάν το MFA προστάτευε τους λογαριασμούς-στόχους, οι εισβολείς είτε χρησιμοποιούσαν τακτικές MFA fatigue με ειδοποίηση push-notification είτε ασχολούνταν με το social engineering για να λάβουν τους κωδικούς από τα θύματα.
Σε μια περίπτωση, οι χάκερ εκμεταλλεύτηκαν το CVE-2021-35464, ένα ελάττωμα στον server ForgeRock AM που διορθώθηκε τον Οκτώβριο του 2021, για να εκτελέσουν κώδικα και να αυξήσουν τα προνόμιά τους σε ένα AWS instance.
Μόλις οι χάκερ αποκτήσουν πρόσβαση σε ένα σύστημα, προσπαθούν να προσθέσουν τις δικές τους συσκευές στη λίστα των αξιόπιστων συσκευών MFA (πολλαπλών παραγόντων ελέγχου ταυτοποίησης) χρησιμοποιώντας τον παραβιασμένο λογαριασμό χρήστη.
Η Crowdstrike παρατήρησε ότι στις καμπάνιες τους οι χάκερ χρησιμοποιούν τα ακόλουθα βοηθητικά προγράμματα και εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM):
- AnyDesk
- BeAnywhere
- Domotz
- DWservice
- Fixme.it
- Fleetdeck.io
- Itarian Endpoint Manager
- Level.io
- Logmein
- ManageEngine
- N-Able
- Pulseway
- Rport
- Rsocx
- ScreenConnect
- SSH RevShell and RDP Tunnelling via SSH
- Teamviewer
- TrendMicro Basecamp
- Sorillus
- ZeroTier
Ορισμένα από τα λογισμικά που αναφέρονται παραπάνω βρίσκονται συνήθως σε εταιρικά δίκτυα και δεν είναι πιθανό να προκαλέσουν alerts στα εργαλεία ασφαλείας.
Οι εισβολές που παρατηρήθηκαν από την Crowdstrike αποκάλυψαν ότι οι αντίπαλοι δεν σταματούν μπροστά σε τίποτα για να διατηρήσουν την πρόσβαση σε ένα παραβιασμένο δίκτυο, ακόμη και μετά την ανίχνευση.
Σε κάθε περίπτωση εισβολής που παρακολούθησε η Crowdstrike, οι εγκληματίες χρησιμοποίησαν πολλαπλά VPN και ISP για να εισέλθουν στο περιβάλλον Google Workspace του οργανισμού που είχαν ως στόχο.
Δείτε επίσης: Zero-day ευπάθειες και η άμεση ανάγκη αντιμετώπισης τους
Για να κινηθούν πλευρικά, οι απειλητικοί φορείς εξήγαγαν διάφορους τύπους πληροφοριών αναγνώρισης, κατέβασαν λίστες χρηστών από παραβιασμένα tenants, έκαναν κατάχρηση του WMI και πραγματοποίησαν SSH tunneling και domain replication.
Η Crowdstrike μοιράστηκε μια εκτενή λίστα από indicators of compromise (IoCs) για αυτήν τη δραστηριότητα στο κάτω μέρος της αναφοράς, κάτι που είναι ζωτικής σημασίας για τους defenders καθώς ο απειλητικός παράγοντας χρησιμοποιεί τα ίδια εργαλεία και διευθύνσεις IP σε διαφορετικές εισβολές.
Πηγή πληροφοριών: bleepingcomputer.com
