Spiderweb, Insects, Server, Cyber, People

Tangled dans le web: les tactiques de l’araignée dispersées changent pour crayer plus de victimes

Lucas Morel

Le groupe a usurpé l’identité des employés pour inciter cela à aider les bureaux à réinitialiser les mots de passe et à transférer des jetons MFA vers des appareils contrôlés par l’attaquant.

Spandred Spider utilise de nouvelles tactiques pour piéger plus de victimes dans son réseau.

Les gouvernements du monde entier avertissent que le groupe de pirates est usurpère des employés pour inciter les bureaux à réinitialiser les mots de passe et à transférer des jetons d’authentification multi-facteurs (MFA) aux appareils contrôlés par l’attaquant. Cela leur permet ensuite de réaliser des campagnes d’extorsion et de ransomware dommageables.

« Sporsed Spider réussit en raison de leur utilisation experte de l’ingénierie sociale », a déclaré Johannes Ullrich, doyen de la recherche au Sans Technology Institute. «Les défenses se concentrent souvent trop sur les attaques techniques et les solutions techniques, tandis que les attaquants comme les araignées dispersés utilisent des appels téléphoniques simples ou des messages SMS, et dans certains cas, de simples pots-de-vin en espèces, pour que les initiés les aident.»

Sophistiqué de phishing de lance contourne les défenses

L’araignée dispersée, également connue sous le nom de Scatter Swine, Oktapus et Octo Tempest, est active depuis au moins mai 2022, en utilisant diverses techniques d’ingénierie sociale pour accéder aux informations d’identification, installer des outils d’accès à distance, contourner le MFA, voler des données et d’extorter les organisations.

Les membres du groupe sont connus pour se faire passer pour le personnel et aider le personnel de bureau à tromper les employés à abandonner leurs informations d’identification, à partager des mots de passe ponctuels (OTP) ou à exécuter des outils d’accès à distance commercial pour accorder un accès au réseau. Ils emploient une variété de tactiques d’ingénierie sociale, notamment la smirs (phishing du texte), Vishing (phishing vocal) et le phishing de lance (ciblant un employé spécifique).

Désormais, l’agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) et d’autres agences au Canada, au Royaume-Uni et en Australie disent que le groupe modifie ses tactiques et utilise de nouvelles techniques de malware et de ransomware – y compris «Rattyrat» et Dragonforce – pour exfiltrer des données.

Les agences avertissent que Spandred Spider réoriente les outils de tunneling d’accès à distance légitimes et disponibles publiquement, y compris maintenant Teleport.sh et AnyDesk, pour contourner facilement les garanties de sécurité. De plus en plus, il recherche l’accès des flocons de neige d’une organisation à «(exfilter) de gros volumes de données en peu de temps, exécutant souvent des milliers de requêtes immédiatement», selon l’avis.

Le groupe est connu pour exfiltrer les données après avoir accédé à un réseau, puis menaçant de les libérer; Récemment, ces données exfiltrées ont été déplacées vers des centres de données basés aux États-Unis, y compris Amazon S3, puis crypté. Les membres communiquent ensuite avec les organisations ciblées via Tor, Tox, Email et d’autres applications cryptées.

Il utilise des domaines, y compris TargetsName-CMS (.) Com, TargetsName-Helpdesk (.) Com et Oktalogin-TargetCompany (.) Com. CISA a expliqué que le nom de l’organisation ciblée est souvent ajouté avec un type ou un type de SSO pour ajouter de la crédibilité.

Dans certains cas, les membres de l’araignée dispersés achètent des informations d’employés ou d’entrepreneurs sur des marchés illicites pour accéder. Plus souvent, ils recherchent des sites Web commerciaux aux entreprises pour recueillir des informations sur des individus spécifiques. Une fois qu’ils ont identifié des noms d’utilisateur, des mots de passe, des informations personnellement identifiables (PII) et effectué l’échange de sim (transférer le numéro de téléphone d’une victime vers une carte SIM qu’ils contrôlent), ils utilisent ensuite des techniques d’ingénierie sociale «en couches» qui se produisent sur plusieurs appels.

Ces mouvements sont conçus pour apprendre les étapes nécessaires pour effectuer des réinitialisations de mot de passe, rassembler les informations de réinitialisation de mot de passe de l’employé ciblées et effectuer des appels de phishing de lance pour convaincre le personnel du bureau de réinitialisation des mots de passe et / ou transférer des jetons MFA afin qu’ils puissent reprendre les comptes.

Plus tard, pour déterminer si leurs activités ont été détectées, les acteurs de la menace recherchent souvent le Slack, les équipes Microsoft de l’organisation et Microsoft Exchange en ligne pour des discussions sur l’attaque et la réponse de sécurité ultérieure. Ils créent également de nouvelles identités dans ces environnements, sauvegardés par de faux profils de médias sociaux et se joignent fréquemment à des appels de remédiation et de réponse aux incidents et à des téléconférences. Cela les aide à comprendre comment les équipes de sécurité les chassent.

L’araignée dispersée est si omniprésente « car elle utilise une ingénierie sociale avancée et agressive qui contourne la plupart des défenses », a déclaré Roger Grimes, évangéliste de défense basé sur les données chez Cybersecurity Company Knowbe4.

Évitez de se faire prendre dans le Web de Spider Spider

En réponse aux nouvelles tactiques du groupe, la déclaration conjointe conseille aux entreprises de rechercher des «connexions risquées» dans les environnements où les tentatives de connexion ont été signalées comme suspectes ou inhabituelles. Les autres pratiques importantes de la cybersécurité comprennent:

  • Appliquer le MFA résistant au phishing.
  • Implémentez les contrôles d’applications pour gérer et contrôler l’exécution des logiciels, y compris les programmes d’accès à distance d’autoriser.
  • Audit des outils d’accès à distance pour identifier les logiciels actuellement utilisés et / ou autorisés.
  • Passez en revue les journaux pour l’exécution des logiciels d’accès à distance pour détecter une utilisation anormale.
  • Permettez uniquement d’utiliser des outils d’accès à distance autorisés dans un réseau par rapport aux mécanismes approuvés tels que les réseaux privés virtuels (VPN) ou les bureaux virtuels.
  • Bloquer les connexions entrantes et sortantes sur les ports et protocoles d’accès à distance communs.
  • Limitez strictement l’utilisation du protocole de bureau à distance (RDP) et d’autres services de bureau à distance.

Étant donné que les techniques d’ingénierie sociale du groupe peuvent contourner la plupart des défenses, les experts soulignent l’importance de construire une culture de cybersécurité holistique, plutôt que de simplement compter sur des outils.

« Ciso ne peut pas acheter une boîte clignorée pour atténuer l’araignée dispersée. » a déclaré David Shipley de Beauceron Security. «Cela nécessite des équipes conscientes et engagées de construction pour reconnaître l’ingénierie sociale, les cultures de sécurité positives et les procédures d’authentification de service d’assistance robustes et affirmées qui sont testées au moins mensuellement par des équipes rouges.»

Grimes de KnowBe4 a noté que de nombreux guides de défense, y compris ceux de CISA, « mentionnent à peine » comment vaincre le mieux l’ingénierie sociale, qui a, a-t-il dit, une meilleure formation de sensibilisation à la sécurité. « Donc, les gens se concentrent sur les mauvaises choses et se demandent pourquoi Spattered Spider réussit. »

Il a conseillé: « N’utilisez pas de MFA facilement phisable – et c’est le plus de MFA. » Ses suggestions de MFA résistant au phishing: NIST, Fido2, 1kosmos, Authn by IEEE, Beyond Identity, Idee, Google Advanced Protection Program, HYPR et IdenProtect.

Sans ‘Ullrich a noté que les entreprises comptent trop souvent sur des fournisseurs tiers pour offrir des fonctions de sécurité critiques telles que l’identité et le contrôle d’accès. En conséquence, il peut être difficile d’apporter des changements tactiques rapides pour lutter contre les menaces actuelles. Un aperçu détaillé de l’activité d’autorisation peut être limité, ralentissant ou empêchant la détection et l’atténuation appropriées, tandis que les réseaux décomposés modernes rendent une surveillance détaillée «presque impossible».

L’expertise interne est optimale, a-t-il dit; Mais à moins cela, les entreprises devraient promouvoir un solide système de déclaration des employés. «Une formation de sensibilisation réussie met souvent l’accent sur la déclaration des fonctionnalités d’une formation antiphétisée plus à l’ancienne», a déclaré Ullrich.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Des exploits Zero Day ont frappé les systèmes Cisco ISE et Citrix dans le cadre d’une campagne avancée
Digital twins combine with AI
Combattre l’IA avec l’IA : robots antagonistes contre chasseurs de menaces autonomes
Back behind view photo of dark skin programmer lady look big monitor check id-address work overtime check debugging system wear specs casual shirt sit table late night office indoors
Une vulnérabilité copier-coller frappe les cadres d’inférence d’IA de Meta, Nvidia et Microsoft