What's new
Runion

This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!

Рэнсом в облаке: тактики Scattered Spider, нацеленные на страховой и финансовый секторы

bratva

Super Heavyweight
Premium
Депозит
$0
На днях вышел замечательный ресерч от EclecticIQ по тактикам наших зарубежных коллег. Думаю, что многим будет интересно с ним ознакомиться для саморазвития :)

Основные положения

Аналитики EclecticIQ провели глубокое исследование операций рансомварщиков с фокусом на облачную инфраструктуру страховых и финансовых секторов. Согласно анализу, наблюдаемая исследователями инфраструктура и методологии, включающие в себя автоматическое создание фишинговых страниц, полностью соответствуют кластеру деятельности SCATTERED SPIDER. [1]

SCATTERED SPIDER часто использует методы социальной инженерии с помощью устройств телефонии - такие как голосовой фишинг (вишинг) и фишинг текстовых сообщений (смишинг) для обмана и манипуляций со своими жертвами, нацеливаясь на службы ИТ-поддержки и администраторов с доступом к системам идентификации. Злоумышленник часто выдает себя за действующих сотрудников, чтобы завоевать доверие и получить доступ, а затем манипулировать настройками MFA и направлять жертв на поддельные порталы входа.

Члены SCATTERED SPIDER, вероятно, покупают украденные данные учеток, подменяют SIM-карты и используют инструменты для работы с облачными решениями, чтобы поддерживать постоянный доступ.

Аналитики заметили, что злоумышленники используют возможности облачной инфраструктуры для проведения вредоносных атак, что делает их операции более сложными для обнаружения и противодействия.

SCATTERED SPIDER демонстрирует глубокое понимание западных деловых практик благодаря своим преимущественно англоговорящим участникам. Аналитики EclecticIQ со средней уверенностью оценивают, что нахождение в той же культурной среде является одной из важнейших причин, по которой BlackCat/ALPHV [2] могли принять решение сотрудничать с ними. Это партнерство позволило группе BlackCat Ransomware более эффективно атаковать западные организации.

EclecticIQ подробно описали "жизненный цикл" или методы развертывания Ransomware в облачных средах, которые используются злоумышленниками для проникновения, выполнения и закрепления Ransomware, чтобы помочь защитникам (и вместе с ними и нам с вами). Доступность облачных решений открывают не только выгоду для бизнеса, но и новые возможности для финансово мотивированных киберпреступников, что и делает доступы к таким облачным решениям желаемой целью.


Рисунок 1 — Жизненный цикл развертывания программ-вымогателей в облачных средах

От учетных записей пользователей до облачных инфраструктур

В период с 2023 по второй квартал 2024 года аналитики EclecticIQ отслеживали и анализировали кибератаки, нацеленные на учетные записи администраторов в облачных инфраструктурах. Результаты показывают, что SCATTERED SPIDER часто компрометирует корпоративные сети с помощью социальной инженерии против учетных записей пользователей облака. В следующих разделах будут подробно описаны различные методы и инструменты, используемые в этих атаках в реальных условиях.

Случайная утечка токена аутентификации в облаке

Случайная утечка учетных данных остается распространенным методом получения несанкционированного доступа к облачным средам. SCATTERED SPIDER использует утекшие токены аутентификации облака [3] из общедоступных репозиториев кода, таких как GitHub, где они могут быть жестко закодированны в коде самого приложения. Это позволяет злоумышленникам использовать автоматизированные инструменты для сканирования и получения несанкционированного доступа к облачным системам.


Рисунок 2 – Пример утечки токена AWS в GitHub

Фишинговые и смишинговые кампании на облачные сервисы и учетные записи с высокими привилегиями

Аналитики EclecticIQ с высокой степенью уверенности полагают, что SCATTERED SPIDER использует фишинговые кампании для компрометации учетных записей пользователей с высокими привилегиями, таких как администраторы служб технической поддержки и специалистов по кибербезопасности. [4] Эти атаки направлены на облачные сервисы, такие как Microsoft Entra ID и AWS EC2. Кроме того, злоумышленники атакуют такие SaaS-платформы как Okta, ServiceNow, Zendesk и VMware Workspace ONE, развертывая фишинговые страницы, которые очень похожи на порталы единого входа (SSO).

SCATTERED SPIDER использует методы SMS-фишинга (смишинга) через текстовые сообщения. Смишинг - это форма фишинга, которая реализуется через доставку SMS с вредоносными ссылками, эта тактика стала излюбленной у киберпреступных групп из-за возможности обходить традиционные спам-фильтры для электронной почты и напрямую атаковать пользователей на их мобильных устройствах. Эти кампании в первую очередь нацелены на такие секторы как финансовые услуги и страховые компании.


Рисунок 3 – Опечаточный домен и фишинг против сервиса финансовых услуг из США.

Атаки Smishing нацелены на учетный записи администраторов в облачных инфраструктурах, предлагая им ввести свои учетные данные для VMware Workspace ONE - платформы, критически важной для управления приложениями и политиками доступа. Кампании Smishing обычно обманывают жертву с помощью SMS-сообщений, вынуждая нажимать на ссылки, которые ведут на фишинговые веб-сайты для кражи учетных данных для входа и перехват одноразовых паролей (OTP). Это позволяет злоумышленникам получить несанкционированный доступ даже к тем учетным записям, что защищены многофакторной аутентификацией (MFA).

Аналитики EclecticIQ отметили, что на фишинговых страницах запрашивались также идентификаторы сотрудника, имена их руководителей - для использования этих данных в дальнейших атаках социальной инженерии, чтобы успешно выдать себя затем за сотрудников организации во время голосовых фишинговых звонков.


Рисунок 4 – График с платформы для анализа угроз от EclecticIQ показывает инфраструктуру, которая начинается с HTML-шаблона для фишинга

Аналитики EclecticIQ заметили, что для фишинга SCATTERED SPIDER в основном используют домены верхнего уровня (TLD) .com и .net, часто генерируя их с опечатками от реальных доменных имен организаций.

Эти домены обычно включают такие строки, как «ServiceNow», «hr», «corp», «dev», «okta», «sso» и «workspace». Аналитики EclecticIQ оценивают со средней уверенностью, что SCATTERED SPIDER недавно изменил свою тактику, чтобы избежать раскрытия, перейдя с таких регистраторов как Porkbun и NAMECHEAP к регистратору registrar[.]eu.

Стилеры и брокеры начальных доступов

Аналитики EclecticIQ заметили продажу токенов аутентификации и учетных данных пользователей для облачных платформ, таких как AWS, Azure и GCP, на русскоязычных и англоязычных подпольных форумах.


Рисунок 5 – Токены AWS продаются на подпольных форумах.

SCATTERED SPIDER использует такие стилеры учетных данных, как Stealc, Raccoon Stealer, Vidar Stealer и RedLine Stealer, в своих операциях. Это вредоносное ПО собирает токены аутентификации к облачным сервисам, которые затем продаются на подпольных форумах, включая, помимо прочих, RussianMarket и . Полученные токены предоставляют злоумышленникам беспрепятственный доступ к облачным ресурсам, минуя традиционную аутентификацию.


Рисунок 6 – Брокер начального доступа nightly делится снимком экрана с Entra ID жертвы на подпольном форуме

Стилер Stealc infostealer позволяет искать данные из каталогов . aws и . azure в конечных точках Windows, которые обычно содержат файлы конфигурации и учетные данные для доступа к этим облачным службам.

Кроме того, Stealc сканирует файл %LOCALAPPDATA%\.IdentityService\msal.cache, в котором кэшируются токены Azure Active Directory. Злоумышленники могут использовать эти токены для доступа к облачным ресурсам без прохождения обычных процессов аутентификации.

Технологии подмены SIM-карт, используемые для обхода MFA и доступа к SaaS-приложениям

Злоумышленники используют подмену SIM-карты как метод обхода MFA, что позволяет им получить несанкционированный доступ к критически важным платформам SaaS. При атаках с подменой SIM-карты группа киберпреступников обманывает операторов мобильной связи, чтобы перевести номер телефона жертвы на контролируемую ими SIM-карту. Это позволяет собирать коды MFA, отправленные по SMS, эффективно обходя двухфакторную аутентификацию. Этот метод использовался для атак на учетные записи пользователей на таких платформах, как Okta, ServiceNow и в системах службы поддержки.

Попав внутрь скомпрометированной учетной записи пользователя, SCATTERED SPIDER нацеливается на облачную инфраструктуру, такую как инстансы Microsoft Azure или AWS. В некоторых случаях злоумышленники создают несанкционированные виртуальные машины (ВМ), которые используются затем для обхода систем безопасности жертвы, поскольку эти недавно созданные ВМ часто не имеют необходимых инструментов безопасности или мониторинга, таких как EDR. Это позволяет злоумышленникам избежать обнаружения, украсть данные и перемещаться по сети незамеченными.

Киберпреступная группа использует также такие легитимные облачные инструменты, как Специальная административная консоль Azure (Azure’s Special Administration Console) и Data Factory, для удаленного выполнения команд, передачи данных и удержания в сети, избегая обнаружения.

Аналитики EclecticIQ выявили злоумышленников - поставщиков услуг по подмене SIM-карт, работающих на подпольном рынке с собственным каналом в Telegram под названием HSBC Network. Такие сервисы, управляются обычно подростками из Великобритании, кто активно предлагает свои услуги для обмана жертв.


Рисунок 7 – Реклама услуги по подмене SIM-карт на канале Telegram


Рисунок 8 – Сообщество по подмену SIM-карт в чате Telegram под названием HSBC Network


Аналитики EclecticIQ с высокой степенью уверенности утверждают, что некоторые участники и продавцы услуг в чате HSBC непосредственно связаны с группой SCATTERED SPIDER. Эта оценка сделана на основе наблюдений за участниками, ранее связанными с деятельностью SCATTERED SPIDER, которые были идентифицированы в чатах HSBC и других известных сообществах по подмене SIM-карт в Telegramе. Аналитики отметили, что злоумышленники часто используют чаты Telegram и Discord для обмена инструментами и методами, тем самым расширяя свои совместные знания и возможности.

Telecom Enemies: группа, предоставляющая услуги разработчикам и способствующая фишингу и кибератакам

Аналитики EclecticIQ выявили группу Developer-as-a-Service (DaaS) под названием Telecom Enemies (также называемую Carrier или Telecom Clowns). Члены группы SCATTERED SPIDER, вероятно, использовали эту группу для разработки инструментов для своей преступной деятельности, таких как Gorilla Call Bot, которые используются для голосовых фишинговых кампаний через службы Google Voice.


Рисунок 9 – Рекламируемый сервис Gorilla callbot на канале Telegram Telecom Enemies


Рисунок 10 — Gorilla Callbot, управляемый через Telegram-бот


Аналитики EclecticIQ заметили, что Telecom Enemies продают услуги набора для фишинга под названием Suite's (All in one) AIO. Аналитики определили URL-адрес панели администратора инструмента forward-icloud[.]com/admin/dashboard/login, используемый в качестве общей платформы для работы между клиентами, купившими их услуги. Он предназначен для доставки шаблонов фишинга для различных сервисов, таких как Coinbase, Gemini, Kraken, Binance, Robinhood, OKX, Trezor, Ledger, Exodus, MetaMask, Trust Wallet, Bitwarden, LastPass, Yahoo!, AOL, Microsoft/MSN, Gmail и iCloud. Злоумышленники используют панель управления Suite's AIO для управления этими фишинговыми кампаниями и для сбора токенов 2FA.


Рисунок 11 – Панель администратора фишинговой панели

Инструменты и услуги, предлагаемые Telecom Enemies, широко рекламируются на каналах Telegram, включая HSBC Network и Star Chat. Эти каналы активно используются участниками SCATTERED SPIDER, что еще больше расширяет охват и доступность предложений Telecom Enemies в подпольном сообществе. Группа хорошо представлена на подпольных форумах, предлагая услуги сотрудничества и разработки на заказ. Услуги гаранта и посредничества приветствуются для проведения безопасных сделок между злоумышленниками.

Участники Telecom Enemies (@carrier / @TelecomEnemies #TE):
  • @tempt
    Псевдонимы: "tempt," "t0," "bAS1C"
    Специализация: эксплуатация веб-приложений и API, реверсинг и проникновение в сеть. Особенно активен в атаках на операторов AT&T, T-Mobile и Verizon и их мобильные приложения.
  • @swordartonline
    Псевдонимы: "Lore"
    Специализация: эксплуатация веб-приложений и API, веб-сканирование и тестирование на проникновение в IoT.
  • @someonesomewheresomething
    Псевдонимы: "PIN," "u0"
    Специализация: программирование UEFI/прошивок, разработка драйверов Linux/NT и разработка вредоносного ПО.
  • @byte_array
    Псевдоним: "sp0m"
    Специализация: тестирование на проникновение, эксплуатация веб-приложений и API.
 
Использование инструментов с открытым исходным кодом для облачной разведки

Аналитики заметили, что после того, как SCATTERED SPIDER получает доступ к облачной инфраструктуре жертвы через панели мониторинга с поддержкой SSO или Microsoft 365 (M365), они проводят разведку для выявления ценных данных и ресурсов. SCATTERED SPIDER выполняет поиск через интегрированные приложения в облачной среде, уделяя особое внимание различным приложениям, включая системы CRM, платформы управления документами, решения для хранения паролей, инструменты управления проектами и репозитории кода. Цель состоит в том, чтобы выявить информацию, которая может помочь им скомпрометировать дополнительные учетные записи, повысить привилегии или перемещаться горизонтально по сети, тем самым увеличивая свой контроль над системами жертвы.


Рисунок 12 – Пример облачной разведки для выявления глобальных администраторов

Инструменты с открытым исходным кодом, такие как AzureAD [5], ADExplorer [6], ADRecon [7] и PingCastle[8], часто используются SCATTERED SPIDER для сбора информации из корпоративного Active Directory (AD) [9]. Эти инструменты позволяют злоумышленнику создавать снимки баз данных AD, которые затем могут быть получены с жертвы для дальнейшего анализа. На рисунке 12 показаны примеры разведки в реальной сети.


Рисунок 13 – Примеры обнаружения разведывательных инструментов и скриптов

В ходе разведки в среде M365 группа SCATTERED SPIDER особенно заинтересована в выявлении:
  • Инструментов управления паролями: эти инструменты могут предоставить доступ к сохраненным учетным данным, что может привести к дальнейшей компрометации систем и учетных записей.
  • Информация об архитектуре сети: понимание структуры сети и виртуальной инфраструктуры помогает злоумышленникам атаковать критически важные системы и потенциально избегать обнаружения.
  • Инфраструктура виртуальных рабочих столов (VDI) и конфигурации VPN: получение доступа к этим конфигурациям позволяет злоумышленникам установить удаленный доступ и закрепиться в сети.
  • Решения по управлению привилегированным доступом (PAM): доступ к этим инструментам имеет решающее значение для злоумышленников, позволяя им повысить свои привилегии внутри организации, что позволяет им получить более высокий уровень доступа к конфиденциальным системам.
  • Информация о персонале: выявление ключевых внутренних контактов может быть полезным для атак социальной инженерии или для сбора дополнительной информации, которая поддержит дальнейшую компрометацию.
Кроме того, SCATTERED SPIDER ищет информацию, которая может быть использована для вымогательства или для атаки на сторонние организации, связанные с жертвой.
Это включает:
  • Данные третьих лиц: доступ к данным, связанным с клиентами или сторонними сервисами, позволяет злоумышленникам выйти за пределы первоначальной жертвы, потенциально подвергая риску другие организации.
  • Дата для переговоров и вымогательства: такая информация, как полисы страхования кибербезопасности, персональные данные (PII) и финансовые записи, имеет ценность для определения требований о выкупе или проведения финансово мотивированных атак.
Благодаря такому организованному процессу разведки SCATTERED SPIDER добивается максимального эффекта от своих атак как внутри организации-жертвы, так и на любые связанные с ней сторонние организации.

Закреп в облачных инфраструктурах

Злоупотребление кросс-тенантной синхронизацией в Microsoft Entra ID


С начала 2024 года аналитики EclecticIQ наблюдали, как SCATTERED SPIDER злоупотребляет кросс-тенантной синхронизацией (Cross-Tenant Synchronization) в Microsoft Entra ID (ранее Azure AD). [10] CTS предназначен для обеспечения бесперебойной совместной работы между различными арендаторами (тенантами) путем синхронизации пользователей и групп, помогая организациям управлять несколькими арендаторами. Злоумышленники использовали эту функцию для закрепления и поддержания скрытого доступа в скомпрометированных облачных средах.


Рисунок 14 — Атака на синхронизацию между арендаторами в Azure

Методология атаки:
Злоупотребление CTS обычно следует в рамках систематического подхода злоумышленникв, позволяя им сохранять постоянный доступ к среде жертвы. Процесс обычно включает:
  1. Взлом привилегированной учетной записи: сначала злоумышленники получают доступ к учетной записи в арендаторе жертвы с достаточными привилегиями для изменения настроек кросс-арендатора. Часто это роль глобального администратора или администратора безопасности.
  2. Установление входящей синхронизации: скомпрометированная учетная запись настраивает арендатора-жертву, позволяя входящую синхронизацию из арендатора, контролируемого злоумышленником. Это фактически открывает путь для предоставления всех учетных записей пользователей из арендатора злоумышленника в арендатор-жертву.
  3. Обеспечение вредоносными аккаунтами: при наличии синхронизации злоумышленник может предоставлять новые вредоносные учетные записи в клиенте жертвы по мере необходимости. Это обеспечивает постоянный доступ, даже если начальные учетные записи были обнаружены и отключены.
  4. Горизонтальное движение между арендаторами: если арендатор-жертва установил CTS с другими арендаторами, злоумышленник может использовать эту настройку для горизонтального перемещения, потенциально ставя под угрозу все дополнительные среды.
Злоупотребление CTS позволяет злоумышленникам смешивать вредоносные действия с законными операциями, снижая вероятность обнаружения. Синхронизированные учетные записи могут использоваться для выполнения ряда вредоносных действий, включая эксфильтрацию данных и повышение привилегий. [11]

Использование внешних сервисов идентификации для постоянного доступа

Внешние сервисы идентификации (federated identity providers) в клиентах Microsoft Entra ID и Okta позволяют организациям делегировать аутентификацию внешним поставщикам удостоверений (IdP), упрощая управление доступом к системе. Однако SCATTERED SPIDER злоупотребляет этой функцией для закрепления и повышения привилегий в скомпрометированных средах.

Методология атаки:

Злоупотребление услугами внешних сервисов идентификации обычно включает в себя следующие этапы:
  1. Взлом учетной записи с высокими привилегиями: злоумышленники получают доступ к учетной записи с полномочиями изменять настройки внешнего (federated) домена, например, глобального администратора или администратора безопасности.
  2. Создание вредоносного внешнего (federated) домена: взломанная учетная запись используется для создания нового внешнего (federated) домена или изменения существующего, настраивая его на аутентификацию через вредоносный IdP, контролируемый злоумышленником.
  3. Создание поддельных токенов аутентификации: злоумышленник создает поддельные токены Security Assertion Markup Language (SAML), тактика, известная как «Golden SAML», позволяет им выдавать себя за любого пользователя в клиенте, включая тех, у кого есть многофакторная аутентификация (MFA).
  4. Закрепление: злоумышленник управляет настройками внешнего (federated) домена, чтобы обеспечить постоянный доступ. Даже если изначально скомпрометированная учетная запись отключена, внешний (federated) домен служит бэкдором, позволяя повторный вход.
  5. Горизонтальное перемещение: используя траст и настройки внешнего домена (federation settings), злоумышленники могут перемещаться горизонтально между подключенными арендаторами, расширяя свои возможности в облачной инфраструктуре и получая доступ к конфиденциальным данным или еще больше повышая привилегии.

Удаленный доступ и управление: использование RMM и инструментов туннелирования протоколов

Чтобы сохранить контроль над скомпрометированными средами, SCATTERED SPIDER использует различные инструменты удаленного рабочего стола и удаленного мониторинга и управления (RMM), а также инструменты туннелирования протоколов и прокси-сервера. Это позволяет им взаимодействовать с хостами в сети жертвы и скрывать свою деятельность.
  • Инструменты удаленного рабочего стола и RMM: SCATTERED SPIDER развертывает ряд инструментов RMM, включая AnyDesk, TeamViewer, RustDesk и MeshCentral. Эти инструменты позволяют злоумышленнику устанавливать удаленные соединения с хостами жертвы, облегчая боковое перемещение и постоянный контроль.
  • Инструменты туннелирования протоколов и прокси: MobaXterm, Ngrok и Proxifier используются SCATTERED SPIDER для установки SSH-соединений и создания обратных прокси. Эти инструменты позволяют злоумышленнику обходить сетевую защиту и сохранять присутствие в среде жертвы, часто используя эти туннели для безопасной связи с скомпрометированными системами.
Ослабление инструментов безопасности и обход защиты

SCATTERED SPIDER использует методы, которые позволяют избежать обнаружения и обойти меры безопасности в целевых средах. Эти методы обходят корпоративную защиту безопасности, позволяя злоумышленнику закрепляться и выполнять вредоносные действия с минимальным вмешательством.
  • Резидентные прокси: SCATTERED SPIDER использует резидентные прокси, такие как NSOCKS и Faceless, чтобы скрыть свой настоящий IP-адрес. Эта тактика создает видимость того, что они входят в учетные записи жертв из той же географической области, что и законный владелец учетной записи, помогая им избегать механизмов обнаружения, таких как оповещения о «невозможности поездки» ("impossible travel").
  • Использование инструментов безопасности жертвы: путем компрометации учетных записей с доступом к EDR и поддержкой SSO, SCATTERED SPIDER получает возможность отключать защиту на скомпрометированных хостах. Злоумышленник также использует функциональность удаленной оболочки этих инструментов для сетевой разведки и развертывания инструментов удаленного управления.
  • Отключение инструментов безопасности: SCATTERED SPIDER часто использует общедоступные скрипты, такие как privacy-script.bat, для отключения функций Microsoft Defender и изменения настроек брандмауэра Windows [12]. Обычно это происходит непосредственно перед развертыванием программы-вымогателя, чтобы минимизировать риск обнаружения.
  • Создание виртуальных машин: для дальнейшего обхода АВ и закрепления SCATTERED SPIDER создает пользовательские виртуальные машины (ВМ) в облачных средах, таких как AWS, Azure и VMware. Эти ВМ используются как неуправляемые хосты в сети, что позволяет злоумышленнику размещать инструменты и удаленно получать доступ к другим сетевым хостам.
  • Изменение правил маршрутов почты: SCATTERED SPIDER настраивает правила маршрутов почты в клиентах Microsoft 365 (M365) жертвы для перенаправления писем с алертами на контролируемые злоумышленником адреса. Это не позволяет организации-жертве получать оповещения о подозрительной активности или уведомления безопасности.
  • Перезагрузка в безопасном режиме: злоумышленник перезагружает системы в безопасном режиме с помощью команды bcdedit, чтобы отключить или удалить защищенные службы, включая продукты безопасности. Этот режим дает им большую гибкость для работы в среде жертвы без каких-либо помех.

Тактика доступа к учетным данным: использование Active Directory и облачных систем идентификации

SCATTERED SPIDER использует различные инструменты и методы для получения несанкционированного доступа к учетным данным в традиционных средах Active Directory (AD) и облачных системах идентификации, таких как Microsoft Entra ID (Azure AD). Этот доступ позволяет злоумышленнику повышать привилегии и закрепляться в инфраструктуре жертвы.
  • Злоупотребление облачной идентификацией: SCATTERED SPIDER использует скрипты для перечисления и удаления методов многофакторной аутентификации (MFA) из скомпрометированных учетных записей в Microsoft Entra ID. Сбрасывая MFA, злоумышленник снижает вероятность блокировки своих действий дополнительными мерами аутентификации.
  • Сбор дампов учетных данных: злоумышленник часто использует такие инструменты, как GoSecretsDump [13], для извлечения хэшей паролей и ключей Kerberos из контроллеров домена. Обычно это делается после создания снимков серверов-жертв в средах Azure или VMware, которые затем монтируются на контролируемых злоумышленником компьютерах.
  • Доступ к файлам cookie: для сохранения доступа к облачным службам SCATTERED SPIDER использует расширения браузера, такие как Cookie Quick Manager и EditThisCookie, для кражи сеансовых файлов cookie, что позволяет им проходить аутентификацию в таких службах, как Microsoft 365 (M365), без необходимости повторного ввода учетных данных.

Тактика эксфильтрации: использование удаленного хранилища и инструментов ETL

SCATTERED SPIDER использует различные методы эксфильтрации данных для сбора конфиденциальной информации из среды жертв, таких как данные AWS S3 bucket и данные M365 SharePoint. Злоумышленники часто используют удаленные службы хранения и инструменты Extract Transform Load (ETL) для облегчения этого процесса.

  • Удаленные службы хранения: SCATTERED SPIDER часто загружает и выгружает данные в удаленные службы хранения, такие как S3 buckets, BackBlaze и другие облачные решения для хранения данных. Для управления этими операциями злоумышленник использует такие инструменты как S3 Browser, гарантируя, что большие объемы данных могут быть извлечены с минимальными рисками обнаружения.

Рисунок 15 - Linux-версия BlackCat Ransomware загружает себя с BlackBaze.
  • Инструменты ETL: SCATTERED SPIDER использует инструменты ETL, такие как AirByte, S3 Browser и Stitch, для синхронизации и извлечения данных из сред жертв. Эти инструменты часто настраиваются с использованием скомпрометированных адресов электронной почты для создания учетных записей, которые облегчают передачу данных из внутренних систем, таких как ZenDesk Support и Salesforce, на контролируемые злоумышленниками серверы.
  • Дополнительные методы: SCATTERED SPIDER также был замечен в использовании скомпрометированных адресов электронной почты для отправки данных непосредственно на контролируемые злоумышленниками учетные записи, загрузке данных жертв в репозитории GitHub и использовании служб обмена файлами, таких как filedropper[.]com и file[.]io, для извлечения конфиденциальной информации.

SCATTERED SPIDER переключает внимание на облачные IaaS, нацеливаясь на VMware ESXi и Azure для развертывания программ-вымогателей

SCATTERED SPIDER сосредоточился на развертывании программ-вымогателей в облачных средах, в основном нацеливаясь на инфраструктуру VMware vSphere ESXi как услугу (IaaS). Их тактика развертывания часто автоматизирована, используя настраиваемые скрипты для эффективного выполнения пейлоадов программ-вымогателей.

  • Таргет на VMware ESXi: SCATTERED SPIDER развертывает исполняемые файлы программы-вымогателя AlphV на хостах ESXi. Выполнение программы-вымогателя автоматизировано путем передачи определенных аргументов с таргетом на IP-адреса, определенные в конфигурации программы-вымогателя.
  • Автоматическое развертывание через Azure: в конце 2023 года было замечено, что SCATTERED SPIDER использовал команду Azure Run для выполнения сценариев оболочки, которые запускали программу-вымогатель в клиенте Azure. Эти сценарии были разработаны для остановки служб безопасности, загрузки исполняемого файла программы-вымогателя из облачного хранилища и его выполнения, эффективно шифруя данные жертвы с минимальным вмешательством.
  • Закрепление и контроль: для сохранения контроля и обеспечения успешного закрепа SCATTERED SPIDER часто изменяет пароли root на гипервизорах VMware ESXi и может отключать инструменты безопасности перед выполнением программы-вымогателя. Это усложняет усилия по восстановлению для жертвы.
 
Профилактика

Аутентификация и безопасность аккаунта

  1. Безопасная аутентификация:
    • Внедрение MFA для защиты от подмены SIM-карт: принудительное использование Microsoft Authenticator с сопоставлением номеров, удаление SMS в качестве варианта проверки MFA для предотвращения атак с подменой SIM-карт и повышения безопасности от распространенных TTP, используемых злоумышленниками.
    • Применение политик условного доступа: Применить политики условного доступа для ограничения доступа к критически важным системам. Например, требуется MFA для всех пользователей и особенно для администраторов, обеспечивая устойчивые к фишингу типы MFA, такие как Windows Hello для бизнеса.
    • Многофакторная аутентификация для конфиденциальных действий: установите два метода аутентификации для конфиденциальных операций, таких как сброс пароля или изменение MFA, и требуйте видео-верификации для подтверждения личности пользователя во время таких процессов.
    • Ограничьте права доступа к учетным записям: убедитесь, что учетные записи пользователей с низкими привилегиями не могли изменять учетные записи или политики безопасности, а также используйте отдельные учетные записи администраторов для предотвращения повышения привилегий.
  2. Мониторинг и оповещения:
    • Обнаружение подозрительного поведения: отслеживание необычных шаблонов, таких как высоко рисковые аутентификации или изменения в запросах на сброс пароля, особенно в нерабочее время. Реализация оповещений о ключевых действиях, включая изменение пароля входа в Windows или несанкционированную регистрацию устройств MFA.
    • Мониторинг активности в облаке: отслеживайте и анализируйте изменения в облачной среде, такие как изменения брандмауэра, высокий исходящий трафик или необычное количество вызовов API, которые могут указывать на вредоносные действия или перебор (enumeration) служб.
  3. Внешняя связь:
    • Безопасные каналы связи: в предполагаемых сценариях компрометации используйте внешние каналы связи для критически важных обменов. Внедрите видеозвонки с проверкой личности в качестве стандарта для операций службы поддержки, особенно для запросов на сброс пароля или MFA.
Безопасность облачной среды
  1. Безопасность гипервизора и облачных ресурсов:
    • Ограничение доступа: отключите доступ SSH к хостам VMware ESXi, включите режим блокировки и сегментация интерфейсов управления ESXi для минимизации рисков несанкционированного доступа. Ограничьте административные роли в облаке с помощью политик условного доступа, которые обеспечивают безопасные методы входа и соответствие устройств.
    • Аудит и контроль: регулярно проводите аудит доменных и локальных учетных записей, уделяя особое внимание выявлению и ограничению учетных данных привилегированных учетных записей, которые могут быть использованы злоумышленниками.
  2. Мониторинг действий в облаке:
    • Отслеживайте изменения в облаке: постоянно отслеживайте создание новых виртуальных машин, любые изменения правил брандмауэра и большие объемы исходящего трафика. Устанавливайте оповещения об аномалиях, которые могут сигнализировать о нарушении или осуществляемой атаке, например, перечисление административных учетных записей.
  3. Управление резервным копированием и моментальными снимками:
    • Защита резервных копий: отслеживайте любые удаления моментальных снимков и настраивайте оповещения для выявления и реагирования на потенциальные действия программ-вымогателей, направленные на уничтожение резервных копий для максимального ущерба.
Безопасность данных и реагирование на инциденты
  1. Брандмауэр и сетевая безопасность:
    • Ограничение сетевого доступа: ограничьте широкий входящий/исходящий доступ к Интернету для гипервизоров, контроллеров домена и других критически важных систем. Используйте политики условного доступа для ограничения административного доступа на основе доверенных сетевых расположений и соответствия устройств.
    • Безопасные удаленные службы: отключите ненужные удаленные службы и обеспечьте централизованный доступ через защищенные прокси-серверы, шлюзы или управляемые системы удаленного доступа, такие как VPN.
  2. Целостность данных:
    • Включите и отслеживайте логи: убедитесь, что ведение логов включено для критически важных решений по хранению данных, отслеживайте высокий исходящий трафик, который может указывать на попытки кражи данных злоумышленниками.
  3. Реагирование на локальные угрозы:
    • Внедрите локальную изоляцию: в случае подозрения на компрометацию следуйте структурированному процессу восстановления, включая восстановление Active Directory Forest, массовый сброс паролей и тщательный просмотр списков контроля доступа (ACL), чтобы устранить возможный закреп злоумышленников.
Фишинг и социальная инженерия
  1. Фишинговые домены:
    • Регулярно отслеживайте домены с опечатками на действительные домены вашей организации, особенно те, которые привязаны к вашим облачным средам. Проактивно защищайте эти домены, чтобы предотвратить фишинговые атаки в рамках тактик социальной инженерии.
Управление привилегированным доступом:
  • Внедрение процессов подтверждения: требуйте многопользовательских подтверждений для конфиденциальных ролей, таких как глобальный администратор. Постоянно отслеживайте создание новых привилегированных пользователей или изменения в факторах аутентификации, чтобы предотвратить несанкционированное повышение привилегий.

Запросы KQL для обнаружения

Аудит добавления партнеров по кросс-тенантному доступу:
мониторинг несанкционированных или подозрительных изменений настроек доступа клиентов в Azure AD путем отслеживания операции, инициирующего пользователя и задействованных клиентов.

Код: Скопировать в буфер обмена
Code:
AuditLogs

| where OperationName == "Add a partner to cross-tenant access setting"

| extend modifiedProperties = parse_json(tostring(TargetResources[0].modifiedProperties))

| where modifiedProperties[0].displayName == "tenantId"

| extend

 initiating_user = tostring(parse_json(tostring(InitiatedBy.user)).userPrincipalName),
 source_ip = tostring(parse_json(tostring(InitiatedBy.user)).ipAddress),
 target_tenant = tostring(modifiedProperties[0].newValue)

| project
 TimeGenerated,
 OperationName,
 initiating_user,
 source_ip,
 source_tenant = AADTenantId,
 target_tenant

Обнаружение злоупотреблений внешними (federated) учетными данными Managed Identity: используйте журнал AzureActivity или аналогичные журналы для обнаружения добавления внешних (federated) учетных данных в Managed Identity. Найдите операции, указывающие на создание этих учетных данных, и потенциально сопоставьте эти события с известными доверенными источниками или сущностями.

Код: Скопировать в буфер обмена
Code:
// Detecting Suspicious Federated Domain Changes and Token Issuance

let suspiciousDomains = materialize(
 AuditLogs
 | where ActivityDisplayName == "Set domain authentication"
 | where TargetResources[0].ModifiedProperties has_any ("Federation settings", "Federated domain")
 | project TimeGenerated, InitiatedBy, TargetResources
);

let highPrivilegeAccounts = materialize(
 SigninLogs
 | where ConditionalAccessPolicies has_any ("Global Administrator",
"Security Administrator")
 | project UserPrincipalName, AppDisplayName, IPAddress, TimeGenerated
);

let suspiciousTokenIssuance = materialize(
 SigninLogs
 | where AuthenticationDetails has "Security Assertion Markup Language (SAML)"
 | extend isMFA = iff(AuthenticationDetails has "Multi-Factor Authentication", "True", "False")
 | where isMFA == "False"
 | project TimeGenerated, UserPrincipalName, AppDisplayName, IPAddress, AuthenticationDetails
);

// Join the suspicious domain modifications with high privilege account sign-ins
suspiciousDomains
| join kind=inner (highPrivilegeAccounts) on $left.InitiatedBy == $right.UserPrincipalName
| extend suspiciousActivity = "Federated domain modified by high-privilege account"
| union
(

 // Join suspicious SAML token issuance with high privilege account sign-ins
 suspiciousTokenIssuance
 | join kind=inner (highPrivilegeAccounts) on $left.UserPrincipalName == $right.UserPrincipalName
 | extend suspiciousActivity = "Suspicious SAML token issued by high-privilege account"
)

| project TimeGenerated, InitiatedBy, TargetResources, suspiciousActivity, IPAddress
| order by TimeGenerated desc

Запрос на обнаружение программного обеспечения RMM: используйте журналы DeviceProcessEvents для обнаружения процессов, связанных с программным обеспечением удаленного мониторинга и управления (RMM). Этот запрос фильтрует события в указанном временном интервале, фокусируясь на процессах известных поставщиков программного обеспечения RMM. Он исключает действия с устройств из предопределенного списка исключений, а затем сортирует результаты по временной метке, что позволяет быстро идентифицировать и расследовать потенциально несанкционированное использование программного обеспечения RMM.

Код: Скопировать в буфер обмена
Code:
let RMMSoftware = externaldata(RMMSoftware: string) [@"https://raw.githubusercontent.com/cyb3rmik3/Hunting-Lists/main/rmm-software.csv"
 with (format="csv", ignoreFirstRecord=True);

let ExcludedDevices = datatable(DeviceName: string) // Add as many devices as you want to exclude
[
 "DeviceName1",
 "DeviceName2",
 "DeviceName3"
];

let Timeframe = 7d; // Adjust the timeframe to suit your investigation needs

DeviceProcessEvents
| where Timestamp > ago(Timeframe)
| where ProcessVersionInfoCompanyName has_any (RMMSoftware)
| where not(DeviceName in (ExcludedDevices))
| project Timestamp, DeviceName, ActionType, FileName, FolderPath, ProcessVersionInfoCompanyName,
   ProcessVersionInfoProductName, ProcessCommandLine, AccountName, InitiatingProcessAccountName,
   InitiatingProcessFileName, InitiatingProcessCommandLine
| sort by Timestamp desc;


Индикаторы компрометации (IOC)

ИндикаторТипСемья вредоносов
c7497366fd0d8c9d72f96e7190632a51MD5Gosecretsdump
b233ff9dcf5520d69f9b75e1424f3271Sliver
cc230dcea35be180e3487b53e4b2cfbaBlackCat Ransomware
8445274c237eb83d56070e499f43641fPhishing HTML Template
1d05a83a639031913574c0bbb06026a4Phishing HTML Template
586bd54b564926682b75330b190cbacePhishing HTML Template


Фишинговые домены:
ИндикаторРегистратор
revolut-ticket[.]comHosting Concepts B.V. d/b/a Registrar.eu
servicenow-help[.]comHosting Concepts B.V. d/b/a Registrar.eu
ibexglobai[.]comHosting Concepts B.V. d/b/a Registrar.eu
authenticate-bt[.]comHosting Concepts B.V. d/b/a Registrar.eu
securian-hr[.]comHosting Concepts B.V. d/b/a Registrar.eu
creditkarma-help[.]comHosting Concepts B.V. d/b/a Registrar.eu
login[.]uscc-hr[.]comAS-CHOOPA
taskus[-]sso[.]comAS-CHOOPA
login[.]five9-hr[.]comDIGITALOCEAN-ASN



Ссылки:

[1] “Scattered Spider | CISA.” Accessed: Sep. 03, 2024. [Online]. Available: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a
[2] “#StopRansomware: ALPHV Blackcat | CISA.” Accessed: Sep. 03, 2024. [Online]. Available: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-353a
[3] “Scattered Spider: The Modus Operandi.” Accessed: Sep. 04, 2024. [Online]. Available: https://www.trellix.com/blogs/research/scattered-spider-the-modus-operandi/
[4] Josue, “Eight-legged Phreaks: Silent Push DNS and content scans discover new Scattered Spider phishing infrastructure. - Silent Push.” Accessed: Aug. 26, 2024. [Online]. Available: https://www.silentpush.com/blog/scattered-spider/, https://www.silentpush.com/blog/scattered-spider/
[5] “AzureAD 2.0.2.182.” Accessed: Aug. 27, 2024. [Online]. Available: https://powershellgallery.com/packages/AzureAD/
[6] markruss, “AD Explorer - Sysinternals.” Accessed: Aug. 27, 2024. [Online]. Available: https://learn.microsoft.com/en-us/sysinternals/downloads/adexplorer
[7] sense-of-security/ADRecon. (Aug. 26, 2024). HTML. Sense of Security. Accessed: Aug. 27, 2024. [Online]. Available: https://github.com/sense-of-security/ADRecon
[8] netwrix/pingcastle. (Aug. 25, 2024). C#. Netwrix Corporation. Accessed: Aug. 27, 2024. [Online]. Available: https://github.com/netwrix/pingcastle
[9] “Why Are You Texting Me? UNC3944 Leverages SMS Phishing Campaigns for SIM Swapping, Ransomware, Extortion, and Notoriety,” Google Cloud Blog. Accessed: Aug. 26, 2024. [Online]. Available: https://cloud.google.com/blog/topic.../unc3944-sms-phishing-sim-swapping-ransomware
[10] “Octo Tempest: Hybrid identity compromise recovery,” TECHCOMMUNITY.MICROSOFT.COM. Accessed: Aug. 26, 2024. [Online]. Available: https://techcommunity.microsoft.com...rid-identity-compromise-recovery/ba-p/4166783
[11] “Cross-Tenant Impersonation: Prevention and Detection,” Okta Security. Accessed: Aug. 27, 2024. [Online]. Available: https://dev-oktaweb-jsonapi.pantheo...tenant-impersonation-prevention-and-detection
[12] “Scattered Spider Targets SaaS Platforms For Data Exfiltration,” Decipher. Accessed: Sep. 04, 2024. [Online]. Available: https://duo.com/decipher/scattered-spider-group-eyes-saas-platforms-for-data-exfiltration
[13] C_Sto, C-Sto/gosecretsdump. (Aug. 15, 2024). Go. Accessed: Aug. 28, 2024. [Online]. Available: https://github.com/C-Sto/gosecretsdump

Источник: https://blog.eclecticiq.com/ransomw...-targeting-insurance-and-financial-industries
 
бл#ть ну и пишут под конец темы конечно же
это тоже уже даже закончилось
на тех же лолзах пару лет назад еще и даже мб раньше скупали авсы и азуры тоннами за копейки и до пары тысяч за "жир" видимо да. скупили с хорошим рекламным бюджетом
и тоже мог же я сам догадаться. почему то все про траферов кардеров и хостинги ассоциации ловил

закончилось поколение умниц первооткрывателей
пришло поколение додиков с мануалами бастарда в руках

а так отличный перевод попробую почитать на неделе

авсы я думаю смело можно было назвать волной сродни фортикам и додикам но только с теплотой которая уже врядли будет и до которой добрались не многие
наверно они сами и просили апи)))


альфа будет звенеть c приколами с апи, я говорил. это действительно круто
как раз к пачке жирненьких авсов
__________________________________________________________________________
мне сказали что азур и возможно авс может восстанавливать данные это так?
 
Top