На днях вышел замечательный ресерч от EclecticIQ по тактикам наших зарубежных коллег. Думаю, что многим будет интересно с ним ознакомиться для саморазвития
Основные положения
Аналитики EclecticIQ провели глубокое исследование операций рансомварщиков с фокусом на облачную инфраструктуру страховых и финансовых секторов. Согласно анализу, наблюдаемая исследователями инфраструктура и методологии, включающие в себя автоматическое создание фишинговых страниц, полностью соответствуют кластеру деятельности SCATTERED SPIDER. [1]
SCATTERED SPIDER часто использует методы социальной инженерии с помощью устройств телефонии - такие как голосовой фишинг (вишинг) и фишинг текстовых сообщений (смишинг) для обмана и манипуляций со своими жертвами, нацеливаясь на службы ИТ-поддержки и администраторов с доступом к системам идентификации. Злоумышленник часто выдает себя за действующих сотрудников, чтобы завоевать доверие и получить доступ, а затем манипулировать настройками MFA и направлять жертв на поддельные порталы входа.
Члены SCATTERED SPIDER, вероятно, покупают украденные данные учеток, подменяют SIM-карты и используют инструменты для работы с облачными решениями, чтобы поддерживать постоянный доступ.
Аналитики заметили, что злоумышленники используют возможности облачной инфраструктуры для проведения вредоносных атак, что делает их операции более сложными для обнаружения и противодействия.
SCATTERED SPIDER демонстрирует глубокое понимание западных деловых практик благодаря своим преимущественно англоговорящим участникам. Аналитики EclecticIQ со средней уверенностью оценивают, что нахождение в той же культурной среде является одной из важнейших причин, по которой BlackCat/ALPHV [2] могли принять решение сотрудничать с ними. Это партнерство позволило группе BlackCat Ransomware более эффективно атаковать западные организации.
EclecticIQ подробно описали "жизненный цикл" или методы развертывания Ransomware в облачных средах, которые используются злоумышленниками для проникновения, выполнения и закрепления Ransomware, чтобы помочь защитникам (и вместе с ними и нам с вами). Доступность облачных решений открывают не только выгоду для бизнеса, но и новые возможности для финансово мотивированных киберпреступников, что и делает доступы к таким облачным решениям желаемой целью.
Рисунок 1 — Жизненный цикл развертывания программ-вымогателей в облачных средах
От учетных записей пользователей до облачных инфраструктур
В период с 2023 по второй квартал 2024 года аналитики EclecticIQ отслеживали и анализировали кибератаки, нацеленные на учетные записи администраторов в облачных инфраструктурах. Результаты показывают, что SCATTERED SPIDER часто компрометирует корпоративные сети с помощью социальной инженерии против учетных записей пользователей облака. В следующих разделах будут подробно описаны различные методы и инструменты, используемые в этих атаках в реальных условиях.
Случайная утечка токена аутентификации в облаке
Случайная утечка учетных данных остается распространенным методом получения несанкционированного доступа к облачным средам. SCATTERED SPIDER использует утекшие токены аутентификации облака [3] из общедоступных репозиториев кода, таких как GitHub, где они могут быть жестко закодированны в коде самого приложения. Это позволяет злоумышленникам использовать автоматизированные инструменты для сканирования и получения несанкционированного доступа к облачным системам.
Рисунок 2 – Пример утечки токена AWS в GitHub
Фишинговые и смишинговые кампании на облачные сервисы и учетные записи с высокими привилегиями
Аналитики EclecticIQ с высокой степенью уверенности полагают, что SCATTERED SPIDER использует фишинговые кампании для компрометации учетных записей пользователей с высокими привилегиями, таких как администраторы служб технической поддержки и специалистов по кибербезопасности. [4] Эти атаки направлены на облачные сервисы, такие как Microsoft Entra ID и AWS EC2. Кроме того, злоумышленники атакуют такие SaaS-платформы как Okta, ServiceNow, Zendesk и VMware Workspace ONE, развертывая фишинговые страницы, которые очень похожи на порталы единого входа (SSO).
SCATTERED SPIDER использует методы SMS-фишинга (смишинга) через текстовые сообщения. Смишинг - это форма фишинга, которая реализуется через доставку SMS с вредоносными ссылками, эта тактика стала излюбленной у киберпреступных групп из-за возможности обходить традиционные спам-фильтры для электронной почты и напрямую атаковать пользователей на их мобильных устройствах. Эти кампании в первую очередь нацелены на такие секторы как финансовые услуги и страховые компании.
Рисунок 3 – Опечаточный домен и фишинг против сервиса финансовых услуг из США.
Атаки Smishing нацелены на учетный записи администраторов в облачных инфраструктурах, предлагая им ввести свои учетные данные для VMware Workspace ONE - платформы, критически важной для управления приложениями и политиками доступа. Кампании Smishing обычно обманывают жертву с помощью SMS-сообщений, вынуждая нажимать на ссылки, которые ведут на фишинговые веб-сайты для кражи учетных данных для входа и перехват одноразовых паролей (OTP). Это позволяет злоумышленникам получить несанкционированный доступ даже к тем учетным записям, что защищены многофакторной аутентификацией (MFA).
Аналитики EclecticIQ отметили, что на фишинговых страницах запрашивались также идентификаторы сотрудника, имена их руководителей - для использования этих данных в дальнейших атаках социальной инженерии, чтобы успешно выдать себя затем за сотрудников организации во время голосовых фишинговых звонков.
Рисунок 4 – График с платформы для анализа угроз от EclecticIQ показывает инфраструктуру, которая начинается с HTML-шаблона для фишинга
Аналитики EclecticIQ заметили, что для фишинга SCATTERED SPIDER в основном используют домены верхнего уровня (TLD) .com и .net, часто генерируя их с опечатками от реальных доменных имен организаций.
Эти домены обычно включают такие строки, как «ServiceNow», «hr», «corp», «dev», «okta», «sso» и «workspace». Аналитики EclecticIQ оценивают со средней уверенностью, что SCATTERED SPIDER недавно изменил свою тактику, чтобы избежать раскрытия, перейдя с таких регистраторов как Porkbun и NAMECHEAP к регистратору registrar[.]eu.
Стилеры и брокеры начальных доступов
Аналитики EclecticIQ заметили продажу токенов аутентификации и учетных данных пользователей для облачных платформ, таких как AWS, Azure и GCP, на русскоязычных и англоязычных подпольных форумах.
Рисунок 5 – Токены AWS продаются на подпольных форумах.
SCATTERED SPIDER использует такие стилеры учетных данных, как Stealc, Raccoon Stealer, Vidar Stealer и RedLine Stealer, в своих операциях. Это вредоносное ПО собирает токены аутентификации к облачным сервисам, которые затем продаются на подпольных форумах, включая, помимо прочих, RussianMarket и . Полученные токены предоставляют злоумышленникам беспрепятственный доступ к облачным ресурсам, минуя традиционную аутентификацию.
Рисунок 6 – Брокер начального доступа nightly делится снимком экрана с Entra ID жертвы на подпольном форуме
Стилер Stealc infostealer позволяет искать данные из каталогов . aws и . azure в конечных точках Windows, которые обычно содержат файлы конфигурации и учетные данные для доступа к этим облачным службам.
Кроме того, Stealc сканирует файл %LOCALAPPDATA%\.IdentityService\msal.cache, в котором кэшируются токены Azure Active Directory. Злоумышленники могут использовать эти токены для доступа к облачным ресурсам без прохождения обычных процессов аутентификации.
Технологии подмены SIM-карт, используемые для обхода MFA и доступа к SaaS-приложениям
Злоумышленники используют подмену SIM-карты как метод обхода MFA, что позволяет им получить несанкционированный доступ к критически важным платформам SaaS. При атаках с подменой SIM-карты группа киберпреступников обманывает операторов мобильной связи, чтобы перевести номер телефона жертвы на контролируемую ими SIM-карту. Это позволяет собирать коды MFA, отправленные по SMS, эффективно обходя двухфакторную аутентификацию. Этот метод использовался для атак на учетные записи пользователей на таких платформах, как Okta, ServiceNow и в системах службы поддержки.
Попав внутрь скомпрометированной учетной записи пользователя, SCATTERED SPIDER нацеливается на облачную инфраструктуру, такую как инстансы Microsoft Azure или AWS. В некоторых случаях злоумышленники создают несанкционированные виртуальные машины (ВМ), которые используются затем для обхода систем безопасности жертвы, поскольку эти недавно созданные ВМ часто не имеют необходимых инструментов безопасности или мониторинга, таких как EDR. Это позволяет злоумышленникам избежать обнаружения, украсть данные и перемещаться по сети незамеченными.
Киберпреступная группа использует также такие легитимные облачные инструменты, как Специальная административная консоль Azure (Azure’s Special Administration Console) и Data Factory, для удаленного выполнения команд, передачи данных и удержания в сети, избегая обнаружения.
Аналитики EclecticIQ выявили злоумышленников - поставщиков услуг по подмене SIM-карт, работающих на подпольном рынке с собственным каналом в Telegram под названием HSBC Network. Такие сервисы, управляются обычно подростками из Великобритании, кто активно предлагает свои услуги для обмана жертв.
Рисунок 7 – Реклама услуги по подмене SIM-карт на канале Telegram
Рисунок 8 – Сообщество по подмену SIM-карт в чате Telegram под названием HSBC Network
Аналитики EclecticIQ с высокой степенью уверенности утверждают, что некоторые участники и продавцы услуг в чате HSBC непосредственно связаны с группой SCATTERED SPIDER. Эта оценка сделана на основе наблюдений за участниками, ранее связанными с деятельностью SCATTERED SPIDER, которые были идентифицированы в чатах HSBC и других известных сообществах по подмене SIM-карт в Telegramе. Аналитики отметили, что злоумышленники часто используют чаты Telegram и Discord для обмена инструментами и методами, тем самым расширяя свои совместные знания и возможности.
Telecom Enemies: группа, предоставляющая услуги разработчикам и способствующая фишингу и кибератакам
Аналитики EclecticIQ выявили группу Developer-as-a-Service (DaaS) под названием Telecom Enemies (также называемую Carrier или Telecom Clowns). Члены группы SCATTERED SPIDER, вероятно, использовали эту группу для разработки инструментов для своей преступной деятельности, таких как Gorilla Call Bot, которые используются для голосовых фишинговых кампаний через службы Google Voice.
Рисунок 9 – Рекламируемый сервис Gorilla callbot на канале Telegram Telecom Enemies
Рисунок 10 — Gorilla Callbot, управляемый через Telegram-бот
Аналитики EclecticIQ заметили, что Telecom Enemies продают услуги набора для фишинга под названием Suite's (All in one) AIO. Аналитики определили URL-адрес панели администратора инструмента forward-icloud[.]com/admin/dashboard/login, используемый в качестве общей платформы для работы между клиентами, купившими их услуги. Он предназначен для доставки шаблонов фишинга для различных сервисов, таких как Coinbase, Gemini, Kraken, Binance, Robinhood, OKX, Trezor, Ledger, Exodus, MetaMask, Trust Wallet, Bitwarden, LastPass, Yahoo!, AOL, Microsoft/MSN, Gmail и iCloud. Злоумышленники используют панель управления Suite's AIO для управления этими фишинговыми кампаниями и для сбора токенов 2FA.
Рисунок 11 – Панель администратора фишинговой панели
Инструменты и услуги, предлагаемые Telecom Enemies, широко рекламируются на каналах Telegram, включая HSBC Network и Star Chat. Эти каналы активно используются участниками SCATTERED SPIDER, что еще больше расширяет охват и доступность предложений Telecom Enemies в подпольном сообществе. Группа хорошо представлена на подпольных форумах, предлагая услуги сотрудничества и разработки на заказ. Услуги гаранта и посредничества приветствуются для проведения безопасных сделок между злоумышленниками.
Участники Telecom Enemies (@carrier / @TelecomEnemies #TE):
Основные положения
Аналитики EclecticIQ провели глубокое исследование операций рансомварщиков с фокусом на облачную инфраструктуру страховых и финансовых секторов. Согласно анализу, наблюдаемая исследователями инфраструктура и методологии, включающие в себя автоматическое создание фишинговых страниц, полностью соответствуют кластеру деятельности SCATTERED SPIDER. [1]
SCATTERED SPIDER часто использует методы социальной инженерии с помощью устройств телефонии - такие как голосовой фишинг (вишинг) и фишинг текстовых сообщений (смишинг) для обмана и манипуляций со своими жертвами, нацеливаясь на службы ИТ-поддержки и администраторов с доступом к системам идентификации. Злоумышленник часто выдает себя за действующих сотрудников, чтобы завоевать доверие и получить доступ, а затем манипулировать настройками MFA и направлять жертв на поддельные порталы входа.
Члены SCATTERED SPIDER, вероятно, покупают украденные данные учеток, подменяют SIM-карты и используют инструменты для работы с облачными решениями, чтобы поддерживать постоянный доступ.
Аналитики заметили, что злоумышленники используют возможности облачной инфраструктуры для проведения вредоносных атак, что делает их операции более сложными для обнаружения и противодействия.
SCATTERED SPIDER демонстрирует глубокое понимание западных деловых практик благодаря своим преимущественно англоговорящим участникам. Аналитики EclecticIQ со средней уверенностью оценивают, что нахождение в той же культурной среде является одной из важнейших причин, по которой BlackCat/ALPHV [2] могли принять решение сотрудничать с ними. Это партнерство позволило группе BlackCat Ransomware более эффективно атаковать западные организации.
EclecticIQ подробно описали "жизненный цикл" или методы развертывания Ransomware в облачных средах, которые используются злоумышленниками для проникновения, выполнения и закрепления Ransomware, чтобы помочь защитникам (и вместе с ними и нам с вами). Доступность облачных решений открывают не только выгоду для бизнеса, но и новые возможности для финансово мотивированных киберпреступников, что и делает доступы к таким облачным решениям желаемой целью.
Рисунок 1 — Жизненный цикл развертывания программ-вымогателей в облачных средах
От учетных записей пользователей до облачных инфраструктур
В период с 2023 по второй квартал 2024 года аналитики EclecticIQ отслеживали и анализировали кибератаки, нацеленные на учетные записи администраторов в облачных инфраструктурах. Результаты показывают, что SCATTERED SPIDER часто компрометирует корпоративные сети с помощью социальной инженерии против учетных записей пользователей облака. В следующих разделах будут подробно описаны различные методы и инструменты, используемые в этих атаках в реальных условиях.
Случайная утечка токена аутентификации в облаке
Случайная утечка учетных данных остается распространенным методом получения несанкционированного доступа к облачным средам. SCATTERED SPIDER использует утекшие токены аутентификации облака [3] из общедоступных репозиториев кода, таких как GitHub, где они могут быть жестко закодированны в коде самого приложения. Это позволяет злоумышленникам использовать автоматизированные инструменты для сканирования и получения несанкционированного доступа к облачным системам.
Рисунок 2 – Пример утечки токена AWS в GitHub
Фишинговые и смишинговые кампании на облачные сервисы и учетные записи с высокими привилегиями
Аналитики EclecticIQ с высокой степенью уверенности полагают, что SCATTERED SPIDER использует фишинговые кампании для компрометации учетных записей пользователей с высокими привилегиями, таких как администраторы служб технической поддержки и специалистов по кибербезопасности. [4] Эти атаки направлены на облачные сервисы, такие как Microsoft Entra ID и AWS EC2. Кроме того, злоумышленники атакуют такие SaaS-платформы как Okta, ServiceNow, Zendesk и VMware Workspace ONE, развертывая фишинговые страницы, которые очень похожи на порталы единого входа (SSO).
SCATTERED SPIDER использует методы SMS-фишинга (смишинга) через текстовые сообщения. Смишинг - это форма фишинга, которая реализуется через доставку SMS с вредоносными ссылками, эта тактика стала излюбленной у киберпреступных групп из-за возможности обходить традиционные спам-фильтры для электронной почты и напрямую атаковать пользователей на их мобильных устройствах. Эти кампании в первую очередь нацелены на такие секторы как финансовые услуги и страховые компании.
Рисунок 3 – Опечаточный домен и фишинг против сервиса финансовых услуг из США.
Атаки Smishing нацелены на учетный записи администраторов в облачных инфраструктурах, предлагая им ввести свои учетные данные для VMware Workspace ONE - платформы, критически важной для управления приложениями и политиками доступа. Кампании Smishing обычно обманывают жертву с помощью SMS-сообщений, вынуждая нажимать на ссылки, которые ведут на фишинговые веб-сайты для кражи учетных данных для входа и перехват одноразовых паролей (OTP). Это позволяет злоумышленникам получить несанкционированный доступ даже к тем учетным записям, что защищены многофакторной аутентификацией (MFA).
Аналитики EclecticIQ отметили, что на фишинговых страницах запрашивались также идентификаторы сотрудника, имена их руководителей - для использования этих данных в дальнейших атаках социальной инженерии, чтобы успешно выдать себя затем за сотрудников организации во время голосовых фишинговых звонков.
Рисунок 4 – График с платформы для анализа угроз от EclecticIQ показывает инфраструктуру, которая начинается с HTML-шаблона для фишинга
Аналитики EclecticIQ заметили, что для фишинга SCATTERED SPIDER в основном используют домены верхнего уровня (TLD) .com и .net, часто генерируя их с опечатками от реальных доменных имен организаций.
Эти домены обычно включают такие строки, как «ServiceNow», «hr», «corp», «dev», «okta», «sso» и «workspace». Аналитики EclecticIQ оценивают со средней уверенностью, что SCATTERED SPIDER недавно изменил свою тактику, чтобы избежать раскрытия, перейдя с таких регистраторов как Porkbun и NAMECHEAP к регистратору registrar[.]eu.
Стилеры и брокеры начальных доступов
Аналитики EclecticIQ заметили продажу токенов аутентификации и учетных данных пользователей для облачных платформ, таких как AWS, Azure и GCP, на русскоязычных и англоязычных подпольных форумах.
Рисунок 5 – Токены AWS продаются на подпольных форумах.
SCATTERED SPIDER использует такие стилеры учетных данных, как Stealc, Raccoon Stealer, Vidar Stealer и RedLine Stealer, в своих операциях. Это вредоносное ПО собирает токены аутентификации к облачным сервисам, которые затем продаются на подпольных форумах, включая, помимо прочих, RussianMarket и . Полученные токены предоставляют злоумышленникам беспрепятственный доступ к облачным ресурсам, минуя традиционную аутентификацию.
Рисунок 6 – Брокер начального доступа nightly делится снимком экрана с Entra ID жертвы на подпольном форуме
Стилер Stealc infostealer позволяет искать данные из каталогов . aws и . azure в конечных точках Windows, которые обычно содержат файлы конфигурации и учетные данные для доступа к этим облачным службам.
Кроме того, Stealc сканирует файл %LOCALAPPDATA%\.IdentityService\msal.cache, в котором кэшируются токены Azure Active Directory. Злоумышленники могут использовать эти токены для доступа к облачным ресурсам без прохождения обычных процессов аутентификации.
Технологии подмены SIM-карт, используемые для обхода MFA и доступа к SaaS-приложениям
Злоумышленники используют подмену SIM-карты как метод обхода MFA, что позволяет им получить несанкционированный доступ к критически важным платформам SaaS. При атаках с подменой SIM-карты группа киберпреступников обманывает операторов мобильной связи, чтобы перевести номер телефона жертвы на контролируемую ими SIM-карту. Это позволяет собирать коды MFA, отправленные по SMS, эффективно обходя двухфакторную аутентификацию. Этот метод использовался для атак на учетные записи пользователей на таких платформах, как Okta, ServiceNow и в системах службы поддержки.
Попав внутрь скомпрометированной учетной записи пользователя, SCATTERED SPIDER нацеливается на облачную инфраструктуру, такую как инстансы Microsoft Azure или AWS. В некоторых случаях злоумышленники создают несанкционированные виртуальные машины (ВМ), которые используются затем для обхода систем безопасности жертвы, поскольку эти недавно созданные ВМ часто не имеют необходимых инструментов безопасности или мониторинга, таких как EDR. Это позволяет злоумышленникам избежать обнаружения, украсть данные и перемещаться по сети незамеченными.
Киберпреступная группа использует также такие легитимные облачные инструменты, как Специальная административная консоль Azure (Azure’s Special Administration Console) и Data Factory, для удаленного выполнения команд, передачи данных и удержания в сети, избегая обнаружения.
Аналитики EclecticIQ выявили злоумышленников - поставщиков услуг по подмене SIM-карт, работающих на подпольном рынке с собственным каналом в Telegram под названием HSBC Network. Такие сервисы, управляются обычно подростками из Великобритании, кто активно предлагает свои услуги для обмана жертв.
Рисунок 7 – Реклама услуги по подмене SIM-карт на канале Telegram
Рисунок 8 – Сообщество по подмену SIM-карт в чате Telegram под названием HSBC Network
Аналитики EclecticIQ с высокой степенью уверенности утверждают, что некоторые участники и продавцы услуг в чате HSBC непосредственно связаны с группой SCATTERED SPIDER. Эта оценка сделана на основе наблюдений за участниками, ранее связанными с деятельностью SCATTERED SPIDER, которые были идентифицированы в чатах HSBC и других известных сообществах по подмене SIM-карт в Telegramе. Аналитики отметили, что злоумышленники часто используют чаты Telegram и Discord для обмена инструментами и методами, тем самым расширяя свои совместные знания и возможности.
Telecom Enemies: группа, предоставляющая услуги разработчикам и способствующая фишингу и кибератакам
Аналитики EclecticIQ выявили группу Developer-as-a-Service (DaaS) под названием Telecom Enemies (также называемую Carrier или Telecom Clowns). Члены группы SCATTERED SPIDER, вероятно, использовали эту группу для разработки инструментов для своей преступной деятельности, таких как Gorilla Call Bot, которые используются для голосовых фишинговых кампаний через службы Google Voice.
Рисунок 9 – Рекламируемый сервис Gorilla callbot на канале Telegram Telecom Enemies
Рисунок 10 — Gorilla Callbot, управляемый через Telegram-бот
Аналитики EclecticIQ заметили, что Telecom Enemies продают услуги набора для фишинга под названием Suite's (All in one) AIO. Аналитики определили URL-адрес панели администратора инструмента forward-icloud[.]com/admin/dashboard/login, используемый в качестве общей платформы для работы между клиентами, купившими их услуги. Он предназначен для доставки шаблонов фишинга для различных сервисов, таких как Coinbase, Gemini, Kraken, Binance, Robinhood, OKX, Trezor, Ledger, Exodus, MetaMask, Trust Wallet, Bitwarden, LastPass, Yahoo!, AOL, Microsoft/MSN, Gmail и iCloud. Злоумышленники используют панель управления Suite's AIO для управления этими фишинговыми кампаниями и для сбора токенов 2FA.
Рисунок 11 – Панель администратора фишинговой панели
Инструменты и услуги, предлагаемые Telecom Enemies, широко рекламируются на каналах Telegram, включая HSBC Network и Star Chat. Эти каналы активно используются участниками SCATTERED SPIDER, что еще больше расширяет охват и доступность предложений Telecom Enemies в подпольном сообществе. Группа хорошо представлена на подпольных форумах, предлагая услуги сотрудничества и разработки на заказ. Услуги гаранта и посредничества приветствуются для проведения безопасных сделок между злоумышленниками.
Участники Telecom Enemies (@carrier / @TelecomEnemies #TE):
- @tempt
Псевдонимы: "tempt," "t0," "bAS1C"
Специализация: эксплуатация веб-приложений и API, реверсинг и проникновение в сеть. Особенно активен в атаках на операторов AT&T, T-Mobile и Verizon и их мобильные приложения. - @swordartonline
Псевдонимы: "Lore"
Специализация: эксплуатация веб-приложений и API, веб-сканирование и тестирование на проникновение в IoT. - @someonesomewheresomething
Псевдонимы: "PIN," "u0"
Специализация: программирование UEFI/прошивок, разработка драйверов Linux/NT и разработка вредоносного ПО. - @byte_array
Псевдоним: "sp0m"
Специализация: тестирование на проникновение, эксплуатация веб-приложений и API.