Het US Federal Bureau of Investigation (FBI) heeft aangetoond dat het de beruchte cybercriminaliteitsgroep heeft waargenomen, verspreide Spider zijn targeting -voetafdruk verbreding om de luchtvaartsector te raken.
Daartoe zei het bureau dat het actief samenwerkt met luchtvaart- en industriële partners om de activiteit te bestrijden en slachtoffers te helpen.
“Deze actoren vertrouwen op technieken voor social engineering, waarbij werknemers of aannemers vaak zich voordoen om IT-bureaus te misleiden om toegang te verlenen,” zei de FBI in een bericht over X. “Deze technieken omvatten vaak methoden om multi-factor authenticatie (MFA) (zoals overtuigende helpdeskservices toe te voegen om niet-geautoriseerde MFA-apparaten toe te voegen aan de in gevaar brengen.”
Het is ook bekend dat verspreide spinnenaanvallen zich richten op externe IT-providers om toegang te krijgen tot grote organisaties, waardoor vertrouwde leveranciers en aannemers een risico lopen op potentiële aanvallen. De aanvallen effenen meestal de weg voor gegevensdiefstal, afpersing en ransomware.
In een verklaring gedeeld op LinkedIn bevestigde Sam Rubin van Palo Alto Networks Unit 42 de aanvallen van de dreigingsacteur op de luchtvaartindustrie en drong hij er bij organisaties op aan om op “hoog waarschuwing” te zijn voor geavanceerde social engineering-pogingen en verdachte multifactor authenticatie (MFA) resetverzoeken
Google-eigendom Mandiant, dat onlangs waarschuwde voor verspreide Spider’s targeting van de Amerikaanse verzekeringssector, herhaalde ook de waarschuwing en verklaarde dat het zich bewust is van meerdere incidenten in de luchtvaartmaatschappij en transport verticals die lijken op de modus operandi van de hackploeg.
“We raden aan dat de industrie onmiddellijk stappen onderneemt om hun helpdesk-identiteitsverificatieprocessen aan te scherpen voordat ze nieuwe telefoonnummers toevoegen aan werknemers-/aannemersaccounts (die door de dreigingsacteur kunnen worden gebruikt om zelfbedieningswachtwoord te resetten), wachtwoorden opnieuw in te stellen, apparaten toe te voegen aan MFA-oplossingen of werknemers (EG-medewerkers) die kunnen worden gebruikt voor een volgende social engineering-aanvallen,” mandiant’s Chares Chares Chares Charles CARMAKS-CARMAKS-CARMAKS-CARMAKS-CARMAKS-CARMAKS-CARMAKS-CARMAKS-CARMAKS-CARMAKS-CARMAK-CARMAK-CARMAK-CARMAK-AAN-CARMAK-CARMAK, is vastgelegd.
Een reden waarom verspreide spin blijft slagen, is hoe goed het menselijke workflows begrijpt. Zelfs wanneer technische verdedigingen zoals MFA aanwezig zijn, richt de groep zich op de mensen achter de systemen – wetende dat helpdesk -personeel, net als iemand anders, overrompeld kan worden door een overtuigend verhaal.
Dit gaat niet over brute-force hacking; Het gaat erom vertrouwen op te bouwen net lang genoeg om binnen te sluipen. En wanneer de tijd kort is of de druk hoog is, is het gemakkelijk om te zien hoe een nep -werknemerverzoek kan doorstaan. Daarom moeten organisaties verder kijken dan traditionele eindpuntbeveiliging en heroverwegen hoe identiteitsverificatie in realtime plaatsvindt.
De activiteit gevolgd als verspreide spin -overlappingen met bedreigingsclusters zoals Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud en UNC3944. De groep, oorspronkelijk bekend om zijn SIM -ruilaanvallen, telt sociale engineering, helpdesk phishing en insider -toegang tot zijn selectie van initiële toegangstechnieken om hybride omgevingen te penetreren.
“Verspreide spider vertegenwoordigt een belangrijke evolutie in het ransomware -risico, het combineren van diepe sociale engineering, gelaagde technische verfijning en snelle dubbele evaliërende mogelijkheden,” zei Halcyon. “Binnen enkele uren kan de groep doorbreken, aanhoudende toegang vaststellen, gevoelige gegevens oogsten, herstelmechanismen uitschakelen en ransomware voor zowel on -premises als cloudomgevingen ontploffen.”
Wat deze groep bijzonder gevaarlijk maakt, is de mix van patiëntplanning en plotselinge escalatie. Verspreide spin is niet alleen afhankelijk van gestolen referenties – het besteedt tijd aan het verzamelen van Intel op zijn doelen, en combineert vaak sociale media -onderzoek met gegevens over openbare inbreuk om mensen met enge nauwkeurigheid na te doen. Dit soort hybride dreiging, het combineren van zakelijke e -mailcompromissen (BEC) -technieken met cloudinfrastructuursabotage, kan onder de radar vliegen totdat het te laat is.
Scattered Spider maakt deel uit van een amorf collectief genaamd Com (aka comm), dat ook andere groepen als Lapsus $ telt. Het wordt beoordeeld als althans sinds 2021 actief.
“Deze groep evolueerde in de Discord- en Telegram -communicatieplatforms, waarbij leden met verschillende achtergronden en interesses zijn getrokken,” zei Unit 42. “De losse en vloeiende aard van deze groep maakt het inherent moeilijk om te verstoren.”
In een rapport dat vrijdag werd gepubliceerd, heeft Reliaquest gedetailleerd hoe verspreide Spider -actoren eind vorige maand een naamloze organisatie overtreden door zich te richten op haar Chief Financial Officer (CFO), en misbruikte ze hun verhoogde toegang om een extreem precieze en berekende aanval uit te voeren.
De dreigingsacteurs zijn gevonden om uitgebreide verkenning uit te voeren om hoogwaardige personen uit te varen, vooral imonatie van de CFO in een oproep aan de IT-helpdesk van het bedrijf en hen overtuigen om het MFA-apparaat en de referenties die aan hun account zijn gekoppeld te resetten.
De aanvallers gebruikten ook de tijdens de verkenning verkregen informatie om de geboortedatum van de CFO en de laatste vier cijfers van hun sofi -nummer (SSN) in de openbare inlogportaal van het bedrijf in te gaan als onderdeel van hun inlogstroom, die uiteindelijk hun werknemers -ID bevestigt en de verzamelde informatie valt.
“Verstrooide spider gunsten C-suite verklaart twee belangrijke redenen: ze zijn vaak te veel bevoorrecht, en het help-desk-verzoeken die aan deze accounts zijn gekoppeld, worden doorgaans met urgentie behandeld, waardoor de waarschijnlijkheid van succesvolle sociale engineering toeneemt,” zei het bedrijf. “Toegang tot deze accounts geeft verspreide spin een pad naar kritieke systemen, waardoor verkenning een hoeksteen is van zijn op maat gemaakte aanvalsplannen.”
Gewapend met toegang tot het account van de CFO, voerden verspreide Spider -acteurs een reeks acties uit op de doelomgeving die aantoonde dat zijn vermogen om hun aanval aan te passen en snel te escaleren –
- Voer Entra ID -opsomming uit op bevoorrechte rekeningen, bevoorrechte groepen en servicedirections voor escalatie en persistentie
- SharePoint Discovery uitvoeren om gevoelige bestanden en samenwerkingsbronnen te vinden en diepere inzichten te krijgen in de workflows van de organisatie en IT- en cloudarchitecturen om hun aanval aan te passen
- Infiltreer het Horizon Virtual Desktop Infrastructure (VDI) -platform met behulp van de gestolen referenties van de CFO en het compromitteren van twee extra accounts via sociale engineering, het extraheren van gevoelige informatie en een voet in de virtuele omgeving vaststellen
- Breek de VPN -infrastructuur van de organisatie om ononderbroken externe toegang tot interne bronnen te beveiligen
- Herstel eerder ontmantelde virtuele machines (VM’s) opnieuw en maak nieuwe om toegang te krijgen tot de VMware vCenter -infrastructuur, sluit een gevirtualiseerde productiedomeincontroller af en extraheren de inhoud van het NTDS.DIT -databasebestand
- Gebruik hun verhoogde toegang tot Crack Open Cyberark -wachtwoordkluis en verkrijg meer dan 1.400 geheimen
- Bevorder de inbraak verder met behulp van de bevoorrechte accounts, inclusief het toewijzen van beheerdersrollen om gebruikersaccounts te compromitteren
- Gebruik legitieme tools zoals NGROK om persistentie op te zetten voor VM’s onder hun controle
- Resort tot een “Scorched-Earth” -strategie nadat de aanwezigheid ervan werd gedetecteerd door het beveiligingsteam van de organisatie, met prioriteit “snelheid over Stealth” om opzettelijk Azure Firewall-beleidsregelcollectiegroepen te verwijderen, die reguliere bedrijfsactiviteiten belemmert
Reliaquest beschreef ook wat in wezen een touwtrekken was tussen het incidentresponsteam en de dreigingsacteurs voor de controle van de wereldwijde beheerdersrol binnen de ENTRA ID-huurder, een gevecht die pas eindigde nadat Microsoft zelf de controle over de huurder herstelde.
Het grotere beeld hier is dat sociale engineeringaanvallen niet langer alleen phishing-e-mails zijn-ze zijn geëvolueerd naar volledige campagnes voor identiteitsdreigingen, waarbij aanvallers gedetailleerde playbooks volgen om elke verdedigingslaag te omzeilen. Van simwisseling tot escalatie van Vishing en Privilege, verspreide Spider laat zien hoe snel aanvallers kunnen bewegen wanneer het pad duidelijk is.
Voor de meeste bedrijven koopt de eerste stap geen nieuwe tools – het is het aanscherpen van interne processen, vooral voor dingen als goedkeuringen van helpdesk en accountherstel. Hoe meer u op mensen vertrouwt voor identiteitsbeslissingen, hoe belangrijker het wordt om ze te trainen met real-world voorbeelden.
“Verspreide Spider’s initiële toegangsmethoden blootstellen een kritische zwakte in veel organisaties: afhankelijkheid van mensgerichte workflows voor identiteitsverificatie,” zeiden beveiligingsonderzoekers Alexa Feminella en James Xiang.
“Door het vertrouwen te bewapenen, heeft de groep sterke technische verdedigingen omzeild en aangetoond hoe gemakkelijk aanvallers gevestigde processen kunnen manipuleren om hun doelen te bereiken. Deze kwetsbaarheid benadrukt de dringende behoefte aan bedrijven om ID Verificatieprotocollen opnieuw te evalueren en te versterken, waardoor het risico op menselijke fouten als gateway voor tegenstanders wordt verminderd.”
