ReliaQuest’teki tehdit araştırmacıları, kurbanlarına saldırmak için kimlik ve kimlik doğrulama hizmetlerini kötüye kullanma konusunda uzmanlaşan ve polisleri yanıt vermekte zorlanan Scattered Spider grubu aracılığıyla gerçekleşen bir siber saldırıdan kuruluşun müşterilerinden birinin nasıl etkilendiğine dair istihbarat paylaştı.
Son derece tehlikeli İngilizce konuşan grup aynı zamanda UNC3944, 0ktapus, Scatter Swine ve Octo Tempest gibi isimler tarafından da takip ediliyor ve hedefli, hassas saldırıları ve saldırgan taktikleriyle, hatta kurbanlarına karşı şiddet tehditlerine başvurmalarıyla tanınıyor. Aynı zamanda yakın zamanda ALPHV/BlackCat fidye yazılımı çetesinin bir üyesi haline geldi; bu oldukça sıra dışı bir gelişme.
ReliaQuest’ten James Xiang, bugün yayınlanan bir teknik incelemede “Scattered Spider, yakın zamanda büyük işletmelerin risklerini aşmaya odaklanan önemli bir siber suç grubu olarak ortaya çıktı” diye yazdı.
“Bu rapor, grubun çeşitli sektör ve bölgelere yayılan ölçeğini ve operasyonlarını vurguluyor. Grup ayrıca, daha derinlere sızmak için ek saldırı vektörleri keşfederek, tehlikeye atılmış ortamlardaki kaynakları kötüye kullanma becerisini de gösterdi.
“Dağınık Örümcek’in TTP’leri [tactics, techniques and procedures] Kimlik boşlukları ve yetersiz yardım masası kullanıcı doğrulama politikaları, saldırılara yardımcı olduğundan, daha geniş tehdit ortamı ve ReliaQuest müşterileri için son derece önemlidir” dedi. “Scattered Spider, son derece verimli yanal hareket için dahili BT belgelerine erişimi kullanarak olağanüstü bir hassasiyetle uygulamaları döndürüyor ve hedefliyor.
Xiang, “Diğer tehdit aktörleri daha karmaşık hale geldikçe ve başarılı modellerden öğrendikçe benzer TTP’lerden yararlanabilecekler” dedi. “Dağınık Örümcek ve benzer şekilde sofistike ve yetenekli grupların oluşturduğu yüksek tehdit ve potansiyel ciddi sonuçlar göz önüne alındığında, kuruluşların kendilerini korumak için uygun önlemleri alması gerekir.”
Kimliği açıklanamayan müşteri, grubun faaliyeti konusunda ilk olarak Eylül ayı başında, otomatik geriye dönük güvenlik ihlali göstergesi (IoC) tehdit avı, çetenin daha önce sızmak için kullandığı bir IP adresini bulduğunda uyarıldı. Ek incelemelerde çetenin araçlarına ve bazı yeni TTP’lere ilişkin daha fazla kanıt bulundu.
Saldırı nasıl gerçekleşti
Scattered Spider’ın ilk erişim vektörü, bir sosyal mühendislik saldırısında kimlik bilgilerini sıfırlayarak Okta çoklu oturum açmayı (SSO) kullanarak bir BT yönetici hesabına erişim elde edebildiği müşterinin bulut ortamı üzerinden gerçekleşti.
Elde edilen bu kimlik bilgileri ile, çok faktörlü kimlik doğrulama (MFA) yorulma saldırısı olarak bilinen bir saldırı gerçekleştirdiler; bu saldırıda kurban, iki dakika içinde dört adet olmak üzere MFA saldırılarına maruz kaldı; bunların sonuncusu, başarılı kimlik doğrulamayla ve ardından imzayla sonuçlandı. -daha sonra Okta tarafından IoC olarak tanımlanan Florida tabanlı bir IP adresinden yeni bir cihazın açılması.
Özellikle, VPN altyapısıyla bağlantısı olmayan bir ABD IP adresi kullanan Scattered Spider, muhtemelen bir operasyonel güvenlik (opsec) hareketi olan tehlikeli konumlardan veya altyapıdan oturum açma uyarılarını yükselten kurallardan kaçmayı başardı. Bunda başarılı oldular çünkü Okta oturum açmayı işaretlemedi.
Daha sonra kalıcılık sağlamak için yeni bir MFA cihazını kaydettiler ve kurbanın Microsoft 365 ve Microsoft Azure Active Directory’sine (AD) dönmek için Okta SSO kontrol panelini kullandılar. Bu süreçte kurbanın SharePoint platformunda daha fazla bilgi veren ve daha derine inmelerini sağlayan dosya ve dizinleri aradılar. Bu bilgiler arasında kurbanın sanal masaüstü altyapısı (VDI), ayrıcalıklı IAM ve parola yönetimi politikaları, sanallaştırma sunucuları, ağ mimarisi ve hatta siber planlama ve bütçeleme belgeleri de yer alıyor.
Scattered Spider daha sonra Citrix Workspace’te kimlik doğrulamak için Okta SSO’yu kullanarak tekrar döndü ve beklenen MFA sorunu kaydettikleri cihaza gitti. ReliaQuest, çetenin Citrix’e eriştikten sonra şirket içi ortamda ek eylemler yürüttüğüne dair kanıt bulduğunu söyledi.
Xiang, “Bulut ortamından şirket içi ortama şaşırtıcı derecede hızlı geçiş, benzersiz bir saldırı yoludur ve grup üyelerinin her iki ortam hakkında ileri düzeyde bilgi sahibi olduğunu gösterir” dedi.
“Bu derinlemesine anlayış, önceden var olan bilgiler ile izinsiz giriş sırasında dosyalardan ve belgelerden toplanan ek bilgilerin birleşiminden kaynaklanmaktadır. Grubun müşterinin bulut ortamından şirket içi ortamına geçişi bir saatten az sürdü.”
Citrix’in ele geçirilmesinden kaynaklanan olaylar arasında, kurbanın AWS S3 klasöründe tutulan ve kurbanın LastPass kasasına erişmesini sağlayan bir dosyaya erişim de vardı. ReliaQuest’in araştırmacıları ayrıca, büyük olasılıkla Scattered Spider’ın bir işaret yerleştirmeye çalışmasının, süreç enjeksiyonu girişimleriyle bağlantılı şüpheli süreç yürütme olaylarının ve ana bilgisayarlar arasında geçiş yapmak için uzak masaüstü protokolünün (RDP) kullanılmasının bir sonucu olan çeşitli uygulama çökmelerini de gözlemledi.
Bu arada Okta’da
Ekip daha sonra odak noktasını tekrar Okta’ya çevirdi; aynı zamanda müşterinin sanallaştırma mühendisi olarak da hizmet veren bir altyapı mimarının hesabından yararlandı ve daha önce gözlemlenen aynı Floridian IP adresinden MFA aracılığıyla kimlik doğrulaması yaptı. Bu kullanıcı ayrıca VMware VCenter kimlik bilgileri klasörü için CyberArk kimlik bilgilerini de kontrol etti.
Bu arada, aynı IP adresinden kimlik doğrulaması yapan ikinci bir BT yöneticisi hesabı, kurbanın Okta ve Azure AD yönetici ayarlarının peşine düştü; bu hesapların her ikisi de muhtemelen MFA yorgunluğu nedeniyle ele geçirilmişti. Yönetici hesabı, çok hızlı bir şekilde çok fazla işlem yapması ve hız sınırlarını ihlal etmesi nedeniyle Okta tarafından engellendi, ancak daha sonra Okta sistem yöneticisi sayfalarına erişebildi ve Azure AD’de de bir dizi şüpheli eylem gerçekleştirdi, API erişimini yapılandırdı, Azure Portal ayarlarını güncelleştirdi ve hatta faturalandırma değişiklikleri bile yapabilirsiniz.
Ertesi gün, mimarın hesabının Okta’yı, kiracılar arası Okta’nın ayrıcalıklı bir kullanıcının kimliğine bürünmesine olanak tanıyan ikincil bir kimlik sağlayıcı (IdP) ile yapılandırdığı gözlemlendi. ReliaQuest, bunun kurbanın Okta ortamında kendi IdP’leri aracılığıyla kimlik doğrulaması yapmalarına olanak tanıyacağını ve bu sayede herhangi bir Okta hesabını taklit etme ve kullanma yeteneği kazanarak kalıcılıklarını daha da güçlendireceğini açıkladı.
Olayda, bir güvenlik mimarı olarak kimlik doğrulaması yapmak için yeni IdP’yi kullandılar, ancak bunu yaparken harici IdP’nin kullanıcı özelliklerini kurbanın Okta kiracısıyla nasıl eşleştirdiğini yanlış yapılandırdılar ve bu da daha sonra onlara hata verdi.
Ardından, kurbanın Azure SQL Veri Ambarı için ele geçirilen hizmet hesapları ile şirket içi ortama geri dönüldü; burada Scattered Spider, birden fazla uzaktan izleme ve yönetim (RMM) aracı da dahil olmak üzere kalıcılık elde etmek ve verileri dışarı çıkarmak için birden fazla araç indirdi. genellikle meşru web sitelerinden ve varsayılan GitHub depolarından ters proxy’ler vb. Daha sonra kurbanın verilerinin son sızdırılması, ilk tehdit avında gözlemlenen orijinal IP adresi aracılığıyla gözlemlendi ve bu noktada ReliaQuest’in analizi sonuca ulaştı; ancak şöyle söylendi: “Müşteri tarafından yapılan daha fazla rapor, saldırganların hedeflerini başarıyla gerçekleştirdiğini gösteriyor.” veri hırsızlığı ve yaygın şifreleme.”
Xiang şunları söyledi: “Dağınık Örümcek’ten gelen saldırıların uzun vadede (bir yıldan fazla) devam edeceğini büyük bir güvenle tahmin ediyoruz. Grubun devam eden faaliyetleri, yüksek vasıflı bir tehdit aktörünün veya grubunun, bulut ve şirket içi ortamlar hakkında karmaşık bir anlayışa sahip olma ve bu sayede çok yönlü bir şekilde gezinme olanağına sahip olma yeteneklerinin bir kanıtıdır.
“Yakın zamanda Dağınık Örümcek ile ilişkili olduğu anlaşılan başka bir izinsiz giriş gözlemledik” diye tamamladı. “Saldırgan, önceki Dağınık Örümcek saldırılarında görülen sosyal mühendislik ve dosya keşfetme eylemlerinin aynısını kullandı. Kritik kaynaklara erişemeseler de Scattered Spider’ın tercih ettiği ilk erişim vektörleri azaltılmadığı sürece saldırıların devam edeceği açıktır.”
ReliaQuest önerileri
ReliaQuest, yukarıdaki izinsiz girişte görülen saldırı vektörlerine yönelik bir dizi tespit kuralı sunmuş ve burada mevcut olup bir dizi öneride bulunmuştur. Bunlar şunları içerir:
- Buluttan şirket içi ortamlara hızlı geçiş göz önüne alındığında, neler olup bittiğine (ve araştırmacılar için zaman çizelgesine) ilişkin daha kapsamlı bir görünüm oluşturmak amacıyla merkezi günlük kaydına ve görünürlüğe daha fazla önem verilmesi;
- En az ayrıcalık ilkelerine bağlı kalmak – Okta süper yönetici haklarının kötüye kullanıldığı göz önüne alındığında özellikle önemlidir;
- Özellikle kimlik bilgilerinin sıfırlanması söz konusu olduğunda, değerli BT yardım masası kimlikleri için çok daha katı doğrulama politikaları sunuyoruz.