ReliaQuest在11月22日发表的报告中指出,Scattered Spider——ALPHV/Black Cat勒索软件的下属机构——此次行动彰显了其作为大型企业中的强敌之实力。这一团伙灵活地利用云服务供应商的资源针对企业展开攻击。
该报告揭露,该团伙此次的作案策略与之前攻陷MGM网络的手段相似:他们利用盗取员工的Okta单点登录代理凭证进入了第三方云环境,并借此侵入企业的内部网络。
报告中提到:“调查初期并不清楚首次入侵是如何发生的,然而几周后,客户反馈称入侵是由于社会工程学攻击,攻击者重置了相关用户的凭证。”报告继续指出:“这类社会工程学策略与Scattered Spider历来的作案手段、技术及程序(TTPs)极为吻合,这些手段旨在窃取目标账户的有效凭证。”
具体来说,攻击者采用了一种名为社会工程学多因素认证(MFA)疲劳攻击的手段,短短两分钟内连续尝试四次MFA挑战。在最后一次尝试中成功突破,来自佛罗里达州IP地址99.25.84[.]9的“新设备登录”被捕捉到,攻击者利用此地址重置了合法Okta用户的凭证,进而进入云服务供应商的系统。
接着,攻击者迅速转向企业的本地环境,在这里他们通过IT管理员的Okta凭证成功登录Citrix Workspace,并再次面对MFA的挑战。认证请求被转发到攻击者新注册、掌控下的设备,使其得以步入工作区,并在客户的基础设施中展开更多恶意行为。
这些行动包括劫持Citrix会话和提升权限,攻击者创建了一个具有高权限的虚假安全架构师用户,从而在Azure、SharePoint以及其他关键系统中畅行无阻,研究人员如是表示。
Scattered Spider通过一系列行为——包括对员工进行社会工程学操控、跨租户的身份即服务(IDaaS)冒充、文件遍历、滥用企业特定应用程序以及部署持久性工具——实现了对目标网络广泛的加密和数据泄露。
Scattered Spider成了不容小觑的对手
这一次的事件突显了Scattered Spider团伙之规模与实力,他们在极短的时间内就能在不同行业和地域的被侵环境中,展现其利用资源的复杂手段。此外,研究人员警告,其他网络威胁参与者可能会效仿他们的策略,发起类似的侵袭。
报告强调:“Scattered Spider以惊人的策略性和精准度兵分多路,针对特定应用程序发起攻击,充分利用对内部IT系统的了解快速横向移动。”“随着其他网络威胁行为者技巧日益精进,借鉴成功典型,他们很可能利用类似的TTPs发起攻击。”
事实上,若MGM的遭遇为迹象,Scattered Spider的攻击潜力巨大,足以对企业网络安全构成灾难性影响,应受到相应的高度重视。此团伙曾令全球逾30家酒店和赌场的系统在超过10天时间中瘫痪,这不仅导致了除支付1500万美元的赎金外,还造成数千万美元的经济损失。
尽管执法部门如FBI对这一威胁组织已有充分认知,并且已搜集了海量数据,但迄今为止尚未能有效遏制其行动——在安全界,这仍是一大争议话题。
企业如何防范重大网络威胁
ReliaQuest建议企业应采取一系列措施以防范这一机敏的威胁团伙,因企业自身的防御技巧至关重要。
其中一种方法就是实行“最小权限原则”,尤其是在Okta超级管理员凭证被滥用的情况下,研究人员如此提议。企业应严格限制超级管理员的角色,以防止可能引发设置变更之类的行为,如注册外部身份提供者或取消强认证要求。
报告建议:“承担该角色的用户应采用对MFA绕过攻击具有明显抵抗力的认证方式。”对于超级管理员账户的新登陆情形或MFA认证因素注册,应伴有通知相应人员。同样的建议也适用于内部IT文档的访问——许多组织在这方面并没有适当的访问限制措施。
鉴于Scattered Spider多次利用社会工程学策略操纵员工进行初始侵入云服务,研究人员还建议应严格执行验证最终用户身份的相关政策,尤其对于涉及凭证重置或MFA操作的手续。包含实施挑战-响应流程或在任何操作之前确保用户身份的确认。
综上所述,针对像Scattered Spider这样的组织,企业防御者应将增强安全议程、定期评估和随时对新兴威胁保持警惕作为优先事项,研究人员这样总结。
https://www.darkreading.com/cloud/scattered-spider-hops-nimbly-cloud-on-prem-complex-attack