Le groupe cybercriminal a élargi sa portée d’attaque dans plusieurs nouvelles industries, apportant des informations d’identification valides sur les bureaux d’aide avant de tirer parti de ses nouveaux apprentissages d’intrusion de cloud Tradecraft pour préparer le terrain pour les ransomwares.
L’araignée dispersée fait de plus en plus les gros titres récemment, évoluant ses techniques et élargissant la portée de ses activités criminelles contre un plus large éventail d’entreprises.
Actif Depuis au moins mai 2022, le groupe cybercriminal motivé financièrement a initialement ciblé des sociétés de télécommunications et de divertissement, notamment MGM Resorts et Caesars Entertainment, grâce à des opérations d’échange de sim-échange et de ransomware.
(Voir aussi: comment les CISO peuvent se défendre contre les attaques de ransomware d’araignée dispersées)
Au fil du temps, le groupe s’est déplacé vers des industries de grande valeur, notamment avec des attaques en mai ciblant les principaux détaillants tels que Marks & Spencer, Co-Op et Harrods, et plus récemment des compagnies aériennes telles que les hawaïens et les quantas dans les coûts des dégâts et de la récupération.
Alors que la National Crime Agency du Royaume-Uni a annoncé cette semaine quatre arrestations pour les attaques contre Marks & Spencer, Coop et Harrods, les responsables de l’application des lois n’ont donné aucune indication que la menace du groupe a diminué.
Notoire pour son utilisation agressive de l’ingénierie sociale, Spandred Spider ciblerait un plus large éventail d’industries avec des attaques plus sophistiquées. Comprendre les dernières tactiques du groupe peut aider les CISO à se préparer à contrer la menace.
Dans une récente attaque, le sujet d’un post-mortem par la détection des menaces et la réponse du fournisseur de la vendeuse, Sported Spider a utilisé l’ingénierie sociale avancée pour compromettre l’identification ENTRA de l’organisation, la répertoire actif et l’infrastructure virtuelle. La chaîne d’attaque démontre la capacité de l’araignée dispersée à mélanger la planification des patients avec une exécution rapide, ainsi qu’une connaissance accrue des systèmes informatiques basés sur le cloud et sur site.
L’araignée dispersée a pris soin de minimiser ses chances de détection et, même après la découverte de l’attaque, a tenté de manière agressive de maintenir le contrôle des systèmes compromis.
Plan d’attaque en évolution de Spider Spider
Sporsed Spider a commencé son attaque contre le portail d’authentification Oracle Cloud orienté vers le public de l’organisation sans nom, ciblant son directeur financier.
En utilisant des détails personnels, tels que la date de naissance du CFO et les quatre derniers chiffres de leur numéro de sécurité sociale obtenus à partir de sources publiques et de violations précédentes, Sphered Spider a mis l’identité du directeur financier lors d’un appel au service d’assistance de l’entreprise, trompant le personnel du bureau d’assistance pour réinitialiser l’appareil enregistré et les informations d’identification du CFO.
La ruse a été accélérée par une combinaison du personnel prioritaire du bureau d’assistance qui s’attache généralement aux demandes du leadership exécutif et au fait que les organisations informatiques excessivent régulièrement des comptes C-suite, leur permettant d’accéder à une plus grande gamme de systèmes informatiques. Il démontre également une évolution des tactiques de Spandred Spider, Notes Reliaquest. Alors qu’auparavant, le groupe a déployé des récolteurs d’identification via des domaines typosquattés pour obtenir des informations d’identification valides, ses dernières attaques voient le groupe déjà équipé de références valides dès le départ.
Étant donné l’accès au compte du CFO, les comptes et les groupes privilégiés de l’ID ENTRA ID (Azure AD) ont cartographié avant de localiser les fichiers sensibles sur SharePoint et de bien comprendre les systèmes informatiques sur site sur site de l’organisation ciblée et le cloud.
Les cybercriminels ont piraté l’infrastructure de bureau virtuelle Horizon de la cible (VDI) en utilisant les informations d’identification du CFO avant d’utiliser l’ingénierie sociale pour compromettre deux comptes supplémentaires et pivoter vers l’environnement local. En parallèle, le groupe a violé l’infrastructure VPN de l’organisation pour maintenir l’accès à distance aux systèmes compromis.
L’araignée dispersée a ensuite réactivé une machine virtuelle découverte et a commencé à créer un environnement virtuel parallèle sous son contrôle avant d’arrêter un contrôleur de domaine de production virtualisé, et a extrait le fichier de base de données NTDS.DIT (rédactions Active Directory) – tout en évasant la détection traditionnelle de terminaison traditionnelle.
Les cybercriminels ont extrait plus de 1 400 secrets en tirant parti des comptes d’administration compromis liés au coffre-fort Cyberark de la cible et probablement un script automatisé. Sporsed Spider a accordé des rôles administrteurs aux comptes d’utilisateurs compromis avant d’utiliser des outils, y compris Ngrok, pour maintenir l’accès sur des machines virtuelles compromises.
« À plusieurs reprises, le groupe a attribué des rôles supplémentaires aux utilisateurs compromis, y compris le rôle de l’administrateur d’échange », selon Reliaquest. «Ce rôle a été utilisé pour surveiller les boîtes de réception des employés de haut niveau, permettant aux attaquants de rester en avance sur l’équipe de sécurité et de maintenir leur contrôle sur l’environnement.»
Les ressources de la bataille qui ont suivi
Malgré la furtivité de la réponse aux incidents d’attaque, les défenseurs de la société compromis ont détecté l’attaque et ont commencé à riposter, créant un tir à la corde pour établir le contrôle des ressources informatiques de l’organisation. En réponse, Spandred Spider a abandonné les tentatives d’infiltration secrète et a commencé une tentative agressive pour perturber les opérations commerciales et entraver la réponse et la récupération.
Par exemple, le groupe a commencé à supprimer les groupes de collecte de règles de politique de pare-feu Azure. L’attaque a finalement été contrecarrée, du moins dans ses principaux objectifs. Bien que certaines données sensibles aient été extraites, le plan probable de déployer des ransomwares n’a jamais été concrétisé.
Cette bataille sur les rôles privilégiés s’est intensifiée jusqu’à ce que Microsoft ait dû intervenir pour rétablir le contrôle du locataire.
« La dernière campagne de Sported Spider démontre sa capacité à s’adapter et à évoluer, mélangeant l’exploitation centrée sur l’homme avec une sophistication technique pour compromettre les systèmes d’identité et les environnements virtuels », conclut Reliaquest.
Plus rapide, plus fort, plus fort
Beek a noté les ajouts suivants à l’arsenal de Spider Spider:
- Techniques d’intrusion des nuages: «Le groupe a démontré une compréhension approfondie des environnements cloud en utilisant le gestionnaire de session AWS Systems Manager, EC2 Serial Console et IAM (identité et gestion de l’accès) énumération pour pivoter et persister dans l’infrastructure cloud – techniques généralement observées dans les acteurs de menace avancés», selon Beek.
- Nouvelles méthodes de persévérance: « Ils ont commencé à abuser des outils d’infrastructure légitime comme Teleport pour un accès à long terme, en établissant des connexions sortantes cryptées qui échappent aux mécanismes de détection traditionnels – un changement par rapport à leur dépendance antérieure à l’égard des outils commerciaux RMM (surveillance et gestion à distance) », a déclaré Beek.
- Attaques multicouches plus rapides: Les opérations de Sporded Spider sont devenues plus agressives et compressées. «Dans les heures suivant le compromis initial – souvent via l’ingénierie sociale – ils augmentent les privilèges, se déplacent latéralement, établissent de la persistance et commencent la reconnaissance dans les environnements cloud et sur site», a expliqué Beek. «Cette vitesse et cette fluidité représentent une escalade significative de la maturité opérationnelle.»
Alors que Spandred Spider a élargi ses objectifs à de nouvelles industries – d’abord la vente au détail, puis la technologie, la finance et maintenant l’aviation – au cours des derniers mois, son modus operandi fondamental reste similaire, ont constaté que les chercheurs de Reliaquest ont trouvé.
Contre-mesures
Dans un article de blog la semaine dernière, le vendeur des outils de sécurité Rapid7 a détaillé les dernières tactiques, techniques et procédures de dispersion (TTP), ainsi que des recommandations pour les meilleures pratiques défensives.
«(Les) techniques du groupe, bien que sophistiquées dans l’exécution, exploitent souvent les tours dans les pratiques de sécurité de base – telles que la relevé excessive sur la prestation de l’identité de bureau ou l’utilisation sans surveillance des outils d’administration», ont écrit Rapid7 chercheurs. «Le renforcement de ces domaines, ainsi que l’éducation des utilisateurs et les contrôles d’authentification moderne, fournissent une forte défense contre le mélange de Spider Spisted Spider en ingénierie sociale et en prouesses techniques.»
Défendre efficacement contre l’araignée dispersée consiste à s’attaquer à la fois aux vulnérabilités humaines et techniques, ont noté les chercheurs de Reliaquest.
« Pour se défendre contre ces attaques, renforcer les procédures de vérification de l’aide pour empêcher un accès non autorisé, durcir les infrastructures virtualisées pour détecter les activités suspectes et tester et former régulièrement les employés contre les tactiques d’ingénierie sociale », a déclaré Reliaquest. «Ces mesures protègent les systèmes d’identité et les flux de travail et perturbent la capacité du groupe à manipuler la confiance et à échapper aux défenses.»
