Scattered Spider, UNC3944 ve 0ktapus gibi çeşitli şekillerde takip edilen tehdit aktörlerinden kaynaklanan siber saldırıların olası etkisinden endişe duyan kuruluşlar, bulut algılama ve yanıt girişimi Permiso’daki araştırmacıların sunduğu dünya çapındaki ücretsiz tehdit brifinglerinden yararlanabilirler.
Scattered Spider bir yılı aşkın bir süredir aktif, ancak son birkaç hafta içinde Las Vegas’taki iki yüksek profilli kumarhane operatörü MGM Resorts ve Caesars Entertainment’a yönelik bir dizi zarar verici siber saldırıyla yeniden öne çıktı.
Mevcut çalışma yöntemi, bulut kiracıları içinde yüksek yönetici hakları elde ederek ve ardından kalıcılığı sağlamak için BT yardım masalarına sosyal mühendislik saldırıları gerçekleştirerek kurbanların hedef alınmasını merkeze alıyor gibi görünüyor.
MGM Resorts ve Caesars Entertainment’ın yanı sıra, mağduriyeti çoğunlukla otelcilik, imalat, perakende, yazılım ve telekomünikasyon gibi sektörlerdeki Fortune 2000 şirketlerini de kapsıyor. Nihai hedefi, fikri mülkiyeti (IP) ve diğer verileri gasp amacıyla çalmak gibi görünüyor ve bazı durumlarda hizmet olarak fidye yazılımı (RaaS) sağlayıcısı ALPHV/BlackCat’in bağlı kuruluşu olarak hareket edebiliyor.
Tehdit aktörünü LUCR-3 adı altındaki P0 Labs ekibi aracılığıyla takip eden Permiso, halihazırda saldırıya uğrayan birçok kuruluşu destekledi.
Şirketin kurucu ortağı ve CEO’su, daha önce FireEye’da birkaç yıl çalışmış olan Jason Martin, Permiso’nun ücretsiz brifingler vermek üzere harekete geçtiğini, çünkü grubun kesin olarak belirlenmesinin zor olmasıyla tanındığını söyledi.
“LUCR-3 (diğer adıyla Dağınık Örümcek), P0 Laboratuvarları ekibinin geçtiğimiz yıl yakından takip ettiği bir tehdit aktörü grubudur. Yalnızca bulut barındırma sağlayıcılarına değil, bulut ortamlarına yönelik kampanyalar düzenliyorlar [Microsoft] Azure veya AWS [Amazon Web Services]ancak kimlik sağlayıcıları ve CRM’ler gibi birden fazla SaaS ortamını kapsar [customer relationship management tools]ekip işbirliği araçları, üretkenlik paketleri ve CI/CD’ye [continuous integration/continuous delivery] boru hatları,” diye açıkladı Martin.
“İzlerini titizlikle gizliyorlar ve tespit edilmeleri zor olabilir, ancak TTP’leri hakkında çok şey öğrendik.” [tactics, techniques and procedures] ve kuruluşların bu gruba karşı savunma yapmasına yardımcı olmak için bunu daha geniş toplulukla özgürce paylaşmak istiyoruz.”
Scattered Spider’ın bugüne kadarki “başarısının” bir kısmı, pek çok kuruluşun bulut güvenliği duruşlarındaki, özellikle de çalışma zamanı görünürlüğüyle ilgili olan eksikliklerinden kaynaklanıyordu. Martin, belirli bir noktaya tarama ve anlık görüntü çözümlerinin, kaynakların ilkel saldırılara karşı koruma sağlayacak şekilde güvenli bir şekilde yapılandırılmasını sağlamak için bulut ortamının duruşuna odaklanma konusunda usta olmasına rağmen, ortamlara yönelik saldırıları çalışma zamanında tespit etmenin hala önemli bir zorluk teşkil ettiğini açıkladı.
Bu zorluk, Scattered Spider tarafından daha da büyütülmektedir; çünkü bulut içindeki tüm saldırı yüzeyi üzerinde kimlik doğrulama sınırlarını kolayca ve etkili bir şekilde aşmaktadır ve dahası, buluttaki erişim ve etkinliklerin çoğu, roller ve erişim anahtarları, izleme gibi paylaşılan kimlik bilgileri aracılığıyla gerçekleştirilmektedir. bunu tek bir kişiye yapmak zordur ve bir siber suçlu dışında gerçek bir kullanıcıya bunu anlatmak çok daha zordur, bu da Scattered Spider’ın saldırılarının çoğunun çok geç olana kadar muhtemelen fark edilmediği anlamına gelir.
Paylaşılan kimlik bilgilerinin tehdit aktörleri tarafından bu şekilde kullanılması bu noktada belirgin bir trend. Yakın zamanda yayınlanan bir Crowdstrike raporunun ortaya çıkardığı gibi, bulut örneği meta veri uygulama programlama arayüzleri (API’ler) aracılığıyla gizli anahtarları ve diğer kimlik bilgileri materyallerini çalma girişimlerinde önemli bir artış yaşandı.
İlgili taraflar, uygun bir zamanda P0 Labs ekibiyle tehdit brifingleri planlayabilir. Bunlar, daha önce Google Cloud destekli Mandiant’ta gelişmiş uygulamalardan sorumlu olan P0 Labs kıdemli başkan yardımcısı Ian Ahl tarafından yönetilecek.
Diğer şeylerin yanı sıra, çetenin TTP’lerini, veri hırsızlığı yoluyla gasptaki rolünü ve birden fazla bulut ortamına yönelik son saldırılarını kapsayacak. Ahl ayrıca son kullanıcı güvenlik ekiplerinin, Scattered Spider’ın saldırı modellerine dayalı olarak kendi ortamlarında nasıl algılama geliştirebileceklerini ve ihlalleri önlemek ve bekleme sürelerini azaltmak için atabilecekleri diğer temel adımları da ele alacak.