Het Mandiant Consulting van Google Cloud heeft aangetoond dat het getuige is geweest van een daling van de activiteit van de beruchte verspreide Spider Group, maar benadrukte de noodzaak voor organisaties om te profiteren van de stilte om hun verdediging te versterken.
“Sinds de recente arrestaties aan de vermeende verspreide Spider (UNC3944) leden in het VK zijn gekoppeld, heeft Mandiant Consulting geen nieuwe intrusies waargenomen die rechtstreeks te wijten zijn aan deze specifieke dreigingsacteur,” vertelde Charles Carmakal, CTO van Mandiant Consulting bij Google Cloud, aan het Hacker News in een verklaring in een verklaring.
“Dit biedt een kritiek gelegenheidsvenster dat organisaties moeten profiteren om de tactieken UNC3944 grondig te bestuderen, zo effectief uitoefenen, hun systemen beoordelen en hun veiligheidshouding dienovereenkomstig versterken.”
Carmakal waarschuwde bedrijven ook om ‘hun bewaker niet volledig in de steek te laten’, omdat andere dreigingsacteurs zoals UNC6040 vergelijkbare social engineering -tactieken gebruiken als verspreide spin om doelnetwerken te breken.
“Hoewel de ene groep tijdelijk slapend is, zullen anderen niet toegeven,” voegde Carmakal eraan toe.
De ontwikkeling komt als de tech -gigant de financiële gemotiveerde hackinggroep de agressieve targeting van VMware ESXI -hypervisors in aanvallen gericht op detailhandel-, luchtvaart- en transportsectoren in Noord -Amerika.
De Amerikaanse overheid, naast Canada en Australië, heeft ook een bijgewerkte advies vrijgegeven waarin wordt uitgespreid Spider’s bijgewerkte TradeCraft verkregen als onderdeel van onderzoeken uitgevoerd door het Federal Bureau of Investigation (FBI) al in deze maand.
“Het is bekend dat verspreide spider -dreigingsactoren verschillende ransomware -varianten gebruiken in gegevensuitvalaanvallen, het meest recent inclusief Dragonforce ransomware,” zeiden de agentschappen.
“Deze actoren gebruiken vaak gebruikte technieken voor sociale engineering zoals phishing, pushbombardementen en swap-aanvallen van abonnee-identiteitsmodule om referenties te verkrijgen, externe toegangstools te installeren en multi-factor authenticatie te bypass. Verstrooide spider-dreigingsactoren gebruiken consequent proxy-netwerken (T1090) en roteren machinaalnamen voor verder hamperdetectie en respons.”
De groep is ook waargenomen als werknemers om het te overtuigen en/of helpdeskpersoneel om gevoelige informatie te verstrekken, het wachtwoord van de werknemer te resetten en de multi-factor authenticatie (MFA) van de werknemer over te dragen naar een apparaat onder hun controle.
Dit markeert een verschuiving van de dreigingsactoren die zich voordoen als het personeel van het helpdesk in telefoontjes of sms -berichten om inloggegevens van werknemers te verkrijgen of ze te instrueren om commerciële externe toegangstools uit te voeren die initiële toegang mogelijk maken. In andere gevallen hebben de hackers werknemers- of aannemersgegevens verworven op illegale marktplaatsen zoals de Russische markt.
Bovendien riepen de regeringen verspreide Spider’s gebruik van direct beschikbare malware -tools zoals Ave Maria (aka Warzone Rat), wasbeer stealer, Vidar Stealer en Ratty Rat om externe toegang te vergemakkelijken en gevoelige informatie te verzamelen, evenals cloudopslagservice mega voor gegevensuitbreiding.
“In veel gevallen zoeken verspreide spinnenbedreigingsacteurs naar de sneeuwvloktoegang van een gerichte organisatie om grote hoeveelheden gegevens in korte tijd te exfiltreren, vaak onmiddellijk duizenden vragen,” volgens het advies.
“Volgens vertrouwde derden, waar meer recente incidenten betrokken zijn, hebben verspreide spiderbedreigingsacteurs mogelijk Dragonforce-ransomware ingezet op de netwerken van gerichte organisaties-waardoor VMware Elastic Sky X Integrated (ESXI) -servers wordt gecodeerd.”
