De bedreigingsacteur bekend als Verwarde Weegschaal Er is waargenomen dat het zich actief richt op software-as-a-service (SaaS)-applicaties en cloud service provider (CSP)-omgevingen in een poging gevoelige gegevens te exfiltreren.
“Organisaties slaan vaak een verscheidenheid aan gegevens op in SaaS-applicaties en maken gebruik van diensten van CSP's”, zegt Palo Alto Networks Unit 42 in een vorige week gepubliceerd rapport.
“De bedreigingsactoren zijn begonnen met pogingen om een deel van deze gegevens te gebruiken om te helpen bij de voortgang van hun aanvallen, en om ze te gebruiken voor afpersing wanneer ze proberen geld te verdienen met hun werk.”
Muddled Libra, ook wel Starfraud, UNC3944, Scatter Swine en Scattered Spider genoemd, is een beruchte cybercriminele groep die gebruik heeft gemaakt van geavanceerde social engineering-technieken om initiële toegang te krijgen tot doelnetwerken.
“Acteurs van verspreide Spider-bedreigingen hebben historisch gezien detectie op doelnetwerken omzeild door gebruik te maken van technieken van het land en toepassingen op de toelatingslijst om door slachtoffernetwerken te navigeren, en door regelmatig hun TTP's aan te passen”, zei de Amerikaanse regering eind vorig jaar in een advies.
De aanvallers hebben ook een geschiedenis van het op talloze manieren geld verdienen met de toegang tot slachtoffernetwerken, waaronder afpersing mogelijk gemaakt door ransomware en gegevensdiefstal.
Unit 42 vertelde eerder aan The Hacker News dat de bijnaam ‘Muddled Libra’ afkomstig is uit het ‘verwarrende warrige landschap’ dat geassocieerd wordt met de 0ktapus phishing-kit, die door andere bedreigingsactoren is gebruikt om aanvallen op het verzamelen van inloggegevens uit te voeren.
Een belangrijk aspect van de tactische evolutie van de dreigingsactor is het gebruik van verkenningstechnieken om administratieve gebruikers te identificeren die ze kunnen targeten wanneer ze zich voordoen als helpdeskpersoneel en via telefoongesprekken hun wachtwoorden achterhalen.
De verkenningsfase strekt zich ook uit tot Muddled Libra, dat uitgebreid onderzoek doet om informatie te vinden over de applicaties en de cloudserviceproviders die door de doelorganisaties worden gebruikt.
“De cross-tenant imitatie-aanvallen van Okta die plaatsvonden van eind juli tot begin augustus 2023, waarbij Muddled Libra de IAM-beperkingen omzeilde, laten zien hoe de groep Okta exploiteert om toegang te krijgen tot SaaS-applicaties en de verschillende CSP-omgevingen van een organisatie”, legt beveiligingsonderzoeker Margaret Zimmermann uit.
De informatie die in dit stadium wordt verkregen, dient als opstapje voor het uitvoeren van zijwaartse bewegingen, waarbij de beheerdersreferenties worden misbruikt om toegang te krijgen tot single sign-on (SSO)-portals om snel toegang te krijgen tot SaaS-applicaties en cloudinfrastructuur.
In het geval dat SSO niet is geïntegreerd in de CSP van een doelwit, onderneemt Muddled Libra brede ontdekkingsactiviteiten om de CSP-inloggegevens te achterhalen, waarschijnlijk opgeslagen op onbeveiligde locaties, om hun doelstellingen te bereiken.
De gegevens die zijn opgeslagen bij SaaS-applicaties worden ook gebruikt om details over de geïnfecteerde omgeving te verzamelen, waarbij zoveel mogelijk inloggegevens worden vastgelegd om de reikwijdte van de inbreuk te vergroten via escalatie van bevoegdheden en zijdelingse verplaatsing.
“Een groot deel van de campagnes van Muddled Libra omvat het verzamelen van inlichtingen en gegevens”, aldus Zimmermann.
“Aanvallers gebruiken dit vervolgens om nieuwe vectoren te genereren voor zijwaartse beweging binnen een omgeving. Organisaties slaan een verscheidenheid aan gegevens op binnen hun unieke CSP-omgevingen, waardoor deze gecentraliseerde locaties een belangrijk doelwit worden voor Muddled Libra.”
Deze acties richten zich specifiek op Amazon Web Services (AWS) en Microsoft Azure, gericht op services zoals AWS IAM, Amazon Simple Storage Service (S3), AWS Secrets Manager, toegangssleutels voor Azure-opslagaccounts, Azure Blob Storage en Azure Files om relevante gegevens te extraheren. .
Gegevensexfiltratie naar een externe entiteit wordt bereikt door misbruik te maken van legitieme CSP-services en -functies. Dit omvat tools als AWS DataSync, AWS Transfer en een techniek genaamd snapshot, waarvan de laatste het mogelijk maakt om gegevens uit een Azure-omgeving te verplaatsen door de gestolen gegevens in een virtuele machine te stallen.
De tactische verschuiving van Muddled Libra vereist dat organisaties hun identiteitsportals beveiligen met robuuste secundaire authenticatiebeschermingen zoals hardwaretokens of biometrie.
“Door hun tactieken uit te breiden met SaaS-applicaties en cloudomgevingen, toont de evolutie van de methodologie van Muddled Libra de multidimensionaliteit van cyberaanvallen in het moderne dreigingslandschap”, concludeert Zimmermann. “Het gebruik van cloudomgevingen om grote hoeveelheden informatie te verzamelen en deze snel te exfiltreren, stelt verdedigers voor nieuwe uitdagingen.”
