Arkasındaki grup yüksek profilli MGM siber saldırısı Eylül ayında, aktörün yalnızca bir saat içinde üçüncü taraf hizmet ortamından hedef kuruluşun şirket içi ağına geçtiği başka bir karmaşık fidye yazılımı saldırısıyla yeniden ortaya çıktı.
Tarafından yapılan saldırı Dağınık ÖrümcekALPHV/Black Cat fidye yazılımı üyesi olan . rapor ReliaQuest tarafından 22 Kasım’da yayınlandı.
Gösterilen taktikler, grubun kimlik bilgilerini kullanarak MGM’nin ağını çökerten taktiklere benziyordu. Okta tek oturum açma aracısı Araştırmacılar, üçüncü taraf bir bulut ortamına girmek ve oradan kurumsal ağa geçmek için bir yardım masası çalışanından çalındığını ortaya çıkardı.
Rapora göre, “Soruşturma sırasında ilk erişim vektörü belirsizdi, ancak haftalar sonra müşteri, izinsiz girişin, kullanıcının kimlik bilgilerinin saldırganlar tarafından sıfırlandığı bir sosyal mühendislik saldırısına atfedildiğini bildirdi.” “Bu sosyal mühendislik taktiği, Scattered Spider’ın bir hedeften geçerli hesap kimlik bilgilerini elde etmek için kullanılan önceki taktikleri, teknikleri ve prosedürleriyle (TTP’ler) güçlü bir şekilde uyum sağlıyor.”
Yorgunluk Saldırılarında MFA’nın Manipüle Edilmesi
Saldırganlar özellikle sosyal mühendislik ürünü bir MFA yorulma saldırısı kullandı; bu saldırıda geçerli hesap kimlik bilgilerini kullanarak iki dakika içinde dört MFA sorgulaması gerçekleştirdiler. Sonuncusu, Florida IP adresi 99.25.84’ten “yeni cihazda oturum açma” işleminin gözlemlenmesiyle başarılı kimlik doğrulamayla sonuçlandı.[.]Bu, bir bulut hizmet sağlayıcısının ortamına erişmek amacıyla meşru bir Okta kullanıcısının kimlik bilgilerini sıfırlamak için kullanılan 9.
Saldırganlar daha sonra hızlı bir şekilde şirket içi kurumsal ortama geçtiler; burada BT yöneticisinin Okta kimlik bilgileri aracılığıyla Citrix Workspace’te kimlik doğrulaması yaptılar ve tekrar MFA’yı tamamlamaları istendi. Bu istem, grubun kontrolü altındaki yeni kaydedilen cihaza gönderilerek, saldırganların çalışma alanına erişmesine ve oradan müşteri altyapısının çeşitli bölümlerinde başka hain faaliyetler yürütmesine olanak tanındı.
Araştırmacılar, bu etkinliklerin Citrix oturumlarının ele geçirilmesini ve sahte güvenlik mimarı kullanıcısı şeklinde yüksek ayrıcalıklı bir kullanıcı yaratarak saldırganların Azure, SharePoint ve ortamdaki diğer kritik varlıklar arasında istedikleri gibi hareket etmelerini sağlayarak ayrıcalık yükseltmeyi içerdiğini söyledi. .
Scattered Spider sonuçta, yardım masası çalışanlarının sosyal mühendisliği, hizmet olarak kimlik (IDaaS) kiracılar arası kimliğe bürünme, dosya numaralandırma ve keşfetme, belirli kurumsal uygulamaların kötüye kullanılması ve kalıcılık araçlarının kullanımı dahil olmak üzere TTP’lerin bir kombinasyonunu kullandı. hedeflenen ağdan yaygın şifreleme ve veri sızması elde edin.
Dağınık Örümcek Zorlu Bir Düşmana Dönüşüyor
Bu olay, kısa sürede çeşitli sektör ve bölgeleri kapsayan riskli ortamlardaki kaynakları kötüye kullanma konusunda gelişmişlik sergileyen Scattered Spider’ın ölçeğini ve operasyonel yeteneğini ortaya koydu. Araştırmacılar, tehlikenin, diğer tehdit aktörlerinin kendi taktiklerinden ders alıp taklit saldırılar düzenlemesi olduğunu belirtti.
Rapora göre “Scattered Spider, son derece verimli yanal hareket için dahili BT belgelerine erişimi kullanarak olağanüstü bir hassasiyetle uygulamaları döndürüyor ve hedefliyor.” “Diğer tehdit aktörleri daha karmaşık hale geldikçe ve başarılı modellerden öğrendikçe benzer TTP’lerden yararlanabilecekler.”
Gerçekten de, eğer MGM saldırısı Scattered Spider’ın saldırılarının kurumsal ağda büyük hasara yol açabileceğinin ve son derece ciddiye alınması gerektiğinin bir göstergesidir. Grubun dünya genelindeki 30’dan fazla otel ve kumarhanesindeki sistemler 10 günden fazla bir süre boyunca çevrimdışı kaldı ve bu durum, şirketin sistemlerin kilidini açmak için ödediği 15 milyon dolarlık fidyenin yanı sıra on milyonlarca dolarlık gelir kaybına da yol açtı.
Üstelik kolluk kuvvetleri FBI gibi iyi farkındalar Tehdit grubunun bir parçası olan ve faaliyetleri hakkında büyük miktarda veri biriktiren yetkililer, şu ana kadar faaliyetlerini kesintiye uğratamadılar; bu da güvenlik camiasında bir tartışma konusu olmaya devam ediyor.
Önemli Bir Siber Tehdide Karşı Kurumsal Savunma
ReliaQuest, şirketlerin bu çevik grup tarafından tehlikeye atılmalarını önlemek ve buna karşı kendilerini savunmak için kendi başlarına kalmaları için alabilecekleri bir dizi eylem önerdi.
Araştırmacılar, bunlardan birinin, özellikle Okta süper yönetici kimlik bilgilerinin kötüye kullanılması göz önüne alındığında, “en az ayrıcalık ilkesine” bağlı kalmak olduğunu söyledi. Harici bir kimlik sağlayıcıyı kaydetme veya güçlü kimlik doğrulama gereksinimlerini devre dışı bırakma gibi çeşitli ayarları değiştirme potansiyeli sağladığından, kuruluşlar süper yönetici rolünü kısıtlamalıdır.
Rapora göre “Bu role atanan kullanıcılar, MFA bypass saldırılarına karşı önemli direnç gösteren bir MFA biçimi kullanmalıdır.” Bu durumda, yeni oturum açma işlemlerine veya süper yönetici hesapları için bir MFA faktörünün kaydına bir bildirim eşlik etmelidir. Araştırmacılar, bu önerinin aynı zamanda birçok kuruluşun erişimi yeterince sınırlamadığı dahili BT belgelerine erişim için de geçerli olması gerektiğini söyledi.
Dağınık Örümcek’in sıklıkla kullandığı göz önüne alındığında bir yardım masası çalışanının sosyal mühendislik manipülasyonu Araştırmacılar ayrıca, buluta ilk erişim için yardım masasının, özellikle kimlik bilgilerinin veya MFA faktörlerinin sıfırlanmasını içeren prosedürler için, son kullanıcıların kimliklerinin doğrulanmasına ilişkin katı politikalara uymasını öneriyor. Bunlar arasında, bir sorgulama-yanıt sürecinin uygulanması veya herhangi bir yardım masası eylemi öncesinde kullanıcı kimlik onayının zorunlu kılınması yer alır.
Araştırmacılar, genel olarak Scattered Spider gibi grupların, kurumsal savunucuların güvenlik protokollerini güçlendirerek, düzenli değerlendirmeler yaparak ve ortaya çıkan tehditler hakkında bilgi sahibi olarak sürekli tetikte olmaya öncelik vermelerini gerektirdiği sonucuna vardı.