Фінансово керований кіберзлочинний колектив, відомий як розкиданий павук, також відомий як UNC3944, Scatter Swine та Custed Tistra, активно працюють з принаймні травня 2022 року.
Вони активізують свою кампанію з високо націлених, багатоступеневих атак проти великих компаній в авіакомпанії, телекомунікаціях, аутсорсингу, технології, роздрібній торгівлі та фінансовому секторах.
Нещодавні інциденти, включаючи гучні порушення в роздрібній торгівлі та авіакомпанії Великобританії, підкреслюють тактику, що розвивається групою, відзначається складною сумішшю соціальної інженерії та творчим зловживанням законними інструментами для ухилення від захисту від безпеки та підтримки довгострокового доступу.
У той час як ранні операції розкиданого павука значною мірою покладалися на фішинг та перемикання SIM, зараз слідчі спостерігають за групою, яка використовує складні схеми введення в службу допомоги.
Зловмисники використовують корпоративні столи ІТ -сервісу, переконливо ставлячись як працівники, часто озброєні особистою інформацією, зібраною з державних джерел.
Орієнтуючись на механізми скидання облікового запису та процеси багатофакторної аутентифікації (MFA), група здатна обійти традиційну ескалацію привілеїв, часто забезпечуючи доступ до високих цінностей з самого початку.
Додаткові методи, такі як втома МЗС або “бомбардування” та SIM, що замінює подальше полегшення початкового доступу, що дозволяє зловмисникам перехопити коди автентифікації та підірвати контроль безпеки.
Хмарний досвід вторгнення
Після порушення своєї цілі розкиданий павук швидко розширює свій слід, використовуючи законні інструменти віддаленого адміністрації TeamViewer, Screenconnect, AnyDesk, і, у помітному недавньому випадку, платформу доступу до інфраструктури для встановлення стійких каналів командування та контролю.
Стратегічне використання таких інструментів, як Manager Session, Teleport та VPN, дозволяє зловмисникам поєднуватися зі стандартними ІТ -операціями, ухиляючись від виявлення продуктами безпеки Endpoint, які зазвичай налаштовані для виявлення зловмисного програмного забезпечення, а не зловживання програмним забезпеченням “затвердженого”.
У хмарних середовищах група демонструє вмільність у переліченні активів та використовуючи конфігурації IAM для повороту бічно, використовуючи вбудовані інструменти управління та API для переміщення через хмарні та гібридні середовища без розгортання власних зловмисних програм.
Розсіяний розкиданий павук використовує такі методи, як скидання облікових даних через Mimikatz, та стандартні методи бічного руху RDP, PSEXEC, SMB акції, а також орієнтуються на внутрішню розвідку.
У деяких випадках група використовує відомі вразливості, включаючи CVE-20121-35464 (Forgerock AM) та застарілі недоліки драйвера, щоб посилити привілеї або відключити контроль безпеки.
Згідно з доповіддю Rapid7, їх інноваційне використання тактики “принести власний водій” (BYOVD), такі як розгортання, що знаходяться на Microsoft, але вразливі драйвери для відключення захисту кінцевої точки, дозволяє складати ухилення на етапах критичної атаки, включаючи екзфільтрацію даних та розгортання викупу.
Співпраця викупів
Фінансова вигода залишається основною мотивацією розкиданого павука, а останні операції характеризуються як вимагання, так і співпраці з групами викупних програм, такими як Alphv/Blackcat та Dragonforce.
Група надає пріоритет крадіжку даних, часто використовуючи подвійне вимагання, загрожуючи громадським розкриттям конфіденційної інформації до або в тандемі з розгортанням викупу.
Вплив групи може бути серйозним, як це спостерігається в інциденті курортів MGM, що призвело до значних втрат даних та оперативного порушення.
Фахівців з безпеки закликають загартовувати процедури служби допомоги, впроваджувати фішинстійкий МЗС та суворо контролювати як хмарну, так і локальну діяльність для аномальної поведінки, що свідчить про атаку.
Сучасні оборонні стратегії повинні визначити пріоритетність принципу найменшої привілеї, надійного моніторингу інструментів віддаленого адміністрування та розгортання технічного контролю для пом'якшення загроз BYOVD, таких як блок-списки драйверів та перевірки цілісності на основі гіпервізорів.
Освіта користувачів та регулярне планування реагування на інциденти, орієнтоване на сценарії, також є критичними, що забезпечує швидке утримання у разі порушень на основі ідентичності.
Оскільки розкиданий павук продовжує застосовувати нові методи приховування та наполегливості, багатошарова та адаптивна позиція безпеки є першорядною для організацій, які прагнуть мінімізувати ризик від цього високопристосувального актора загрози.
Знайдіть цю історію цікавою! Слідкуйте за нами на LinkedIn та X, щоб отримати більше миттєвих оновлень