Cybersecurity -onderzoekers hebben een nieuwe ronde van cyberaanvallen gebonden die gericht zijn op financiële diensten aan de beruchte cybercriminaliteitsgroep die bekend staat als verspreide spin en twijfelt aan hun claims om ‘donker’ te worden.
Bedreigingsinlichtingenbedrijf Reliaquest zei dat het aanwijzingen heeft opgemerkt dat de dreigingsacteur hun focus heeft verlegd naar de financiële sector. Dit wordt ondersteund door een toename van Lookalike -domeinen die mogelijk gekoppeld zijn aan de groep die zijn gericht op de verticale branche, evenals een recent geïdentificeerde gerichte inbreuk op een niet nader genoemde Amerikaanse bankorganisatie.
“Verspreide Spider heeft initiële toegang gekregen door het account van een directeur te engineerden en hun wachtwoord te resetten via Azure Active Directory Self-Service wachtwoordbeheer,” zei het bedrijf.
“Van daaruit gaven ze toegang tot gevoelige IT- en beveiligingsdocumenten, bewogen lateraal via de Citrix -omgeving en VPN en hebben VMware ESXI -infrastructuur gecompromitteerd om referenties te dumpen en het netwerk verder te infiltreren.”
Om escalatie van privileges te bereiken, resetten de aanvallers een Veeam Service Account -wachtwoord, toegewezen Azure Global Administrator -machtigingen en verhuisde virtuele machines om detectie te ontwijken. Er zijn ook tekenen dat verspreide Spider probeerde gegevens van Snowflake, Amazon Web Services (AWS) en andere repositories te exfiltreren.
Verlaat of rookgordijn?
De recente activiteit ondermijnt de claims van de groep dat ze de activiteiten ophouden naast 14 andere criminele groepen, zoals Lapsus $. Scattered Spider is de naam die is toegewezen aan een losgemaakt hackcollectief dat deel uitmaakt van een bredere online entiteit genaamd de COM.
De groep deelt ook een hoge mate van overlapping met andere cybercriminale bemanningen zoals Shinyhunters en Lapsus $, zozeer zelfs dat de drie clusters een overkoepelende entiteit vormden genaamd “Scattered Lapsus $ jagers.”
Een van deze clusters, met name glanzendhunters, is ook bezig met afpersingsinspanningen na het exfiltreren van gevoelige gegevens van Salesforce -instanties van slachtoffers. In deze gevallen vond de activiteit plaats maanden nadat de doelen werden aangetast door een andere financieel gemotiveerde hackgroep die door Google-eigendom Mandiant als UNC6040 werd gevolgd.
Het incident is een herinnering om niet te worden gesust in een vals gevoel van veiligheid, voegde Reliaquest toe, en dringt er bij organisaties op aan om waakzaam te blijven tegen de dreiging. Zoals in het geval van ransomware -groepen, bestaat er niet zoiets als pensioen, omdat het zeer mogelijk is dat ze zich in de toekomst hergroeperen of rebrand onder een andere alias.
“De recente bewering dat verspreide spin met pensioen gaat, moet worden genomen met een aanzienlijke mate van scepsis,” zei Karl Sigler, beveiligingsonderzoeksmanager van Spiderlabs Threat Intelligence bij Trustwave. “In plaats van een echte ontbinding, duidt deze aankondiging waarschijnlijk aan dat een strategische overstap om de groep afstand te nemen van het vergroten van de druk van de wetshandhaving.”
Sigler wees er ook op dat de afscheidsbrief moet worden gezien als een strategisch retraite, waardoor de groep zijn praktijken opnieuw kan beoordelen, zijn handel te verfijnen en voortdurende inspanningen te ontwerpen om een deksel over haar activiteiten te zetten, om nog maar te zwijgen over de complicatierechefacties door het moeilijker te maken om toekomstige incidenten te maken aan dezelfde kernactoren.
“Het is aannemelijk dat iets binnen de operationele infrastructuur van de groep is gecompromitteerd. Of door een gebroken systeem, een blootgesteld communicatiekanaal, of de arrestatie van gelieerde onderdelen van lagere laag, iets heeft waarschijnlijk de groep geactiveerd om te gaan, althans tijdelijk. Historisch gezien, wanneer cybercriminale groepen worden geconfronteerd met een verhoging van de naam, ze zijn vaak in de naam, op de naam van de naam. komen opnieuw op onder een nieuwe identiteit. “
