Hajutatud ämbliku lunavara rünnak

Scattered Spider, keerukas ja agressiivne küberkuritegevuse rühmitus, on suurendanud oma rünnakuid VMware ESXi hüperviisorite vastu. Sihtides Põhja-Ameerika võtmesektoreid nagu jaemüük, lennundus ja transport, on rühmituse tegevus läbimõeldud, sihikindel ja laastavalt tõhus. Nende edu ei seisne mitte tarkvararünnakutes, vaid sotsiaalse manipuleerimise ja usaldusväärsete süsteemide manipuleerimise meisterlikkuses.

Taktikad ilma ärakasutamisteta: sotsiaalne manipuleerimine keskmes

Tarkvara haavatavuste ärakasutamise asemel tugineb Scattered Spider läbiproovitud taktikale: telefoni teel tehtavale sotsiaalsele manipuleerimisele. Grupp võtab sageli ühendust IT-abikeskustega, et teeselda end seaduslike töötajatena, sealhulgas kõrge privileegiga administraatoritena. Need kõned on osa laiemast kampaaniapõhisest strateegiast, mistõttu nende rünnakud pole sugugi juhuslikud. Nad planeerivad oma operatsioone hoolikalt, et sihtida organisatsiooni kõige tundlikumaid süsteeme ja andmeid.

Hajuämblikuvõrgu tegijad on tuntud petlike domeenide registreerimise poolest, mis jäljendavad täpselt nende sihtmärkide infrastruktuuri või sisselogimisportaale. Levinud nimetamismustrid on järgmised:

• ohvrinimi-sso.com
• ohvrinimi-okta.com
• ohvrinimi-teeninduskeskus.com
• sso-ohvrinimi.com
• servicenow-victimname.com

Abikeskusest hüperviisoriks: mitmefaasiline rünnakuahel

Scattered Spideri rünnakumetoodika läbib viis strateegilist etappi, millest igaüks on loodud juurdepääsu suurendamiseks ja avastamise minimeerimiseks:

Esialgne juurdepääs ja õiguste eskaleerimine
Ründajad alustavad sotsiaalse manipuleerimisega, et teeselda töötajate nimesid, koguda volitusi ja koguda sisedokumente. Nad hangivad sageli andmeid paroolihalduritest, näiteks HashiCorp Vault, ja kasutavad IT-toe protsesse ära administraatori paroolide lähtestamiseks.

Külgmine liikumine vSphere'i suunas
VMware keskkondadega kaardistatud Active Directory sisselogimisandmeid kasutades pääsevad nad juurde vCenter Server Appliance'ile (vCSA). Tööriist nimega teleport luuakse krüptitud pöördkest, mis möödub tulemüürireeglitest ja tagab püsiva juurdepääsu.

Hüperviisori manipuleerimine ja andmete ekstraheerimine
ESXi hostides lubatakse SSH, lähtestatakse juurparoolid ja käivitatakse kettavahetusrünnak. See hõlmab domeenikontrolleri virtuaalmasina sulgemist, selle virtuaalmasina eraldamist, ründaja kontrollitava virtuaalmasinaga ühendamist ja NTDS.dit andmebaasi lahtipakkimist enne protsessi tagasipööramist.

Taastamismehhanismide keelamine
Varundustööd, hetktõmmised ja repositooriumid kustutatakse, et välistada taastamisvõimalused ja võimendada rünnaku mõju.

Lunavara juurutamine
Kohandatud lunavara binaarfailid edastatakse SCP või SFTP kaudu ohustatud ESXi hostidele, krüpteerides kriitilised süsteemid kogu virtuaalses keskkonnas.

Hajutatud ämbliku kiirus ja hiilivus

Scattered Spiderit, tuntud ka varjunimede 0ktapus, Muddled Libra, Octo Tempest ja UNC3944 all, eristab traditsioonilistest lunavara rikkujatest nende tegevuse kiirus ja salajasus. Eksperdid märgivad, et kogu rünnak alates esmasest juurdepääsust kuni lunavara juurutamiseni võib toimuda vaid mõne tunniga. Mõnel juhul on vähem kui 48 tunniga välja filtreeritud üle 100 GB andmeid. Grupp on seostatud ka DragonForce'i lunavaraprogrammiga, mis võimendab nende võimekust veelgi.

Kaitsestrateegiate nihkumine: EDR-ist infrastruktuurikeskse turvalisuseni

Nende rünnakute olemuse tõttu ei pruugi standardsetest lõpp-punkti tuvastamise ja reageerimise (EDR) tööriistadest piisata. Hajutatud ämbliku eest kaitsmine nõuab terviklikku ja infrastruktuuri-keskset lähenemist. Järgmist kihilist kaitsestrateegiat soovitatakse tungivalt:

1. kiht: vSphere'i ja hüperviisori tugevdamine

• Lukustusrežiimi lubamine vSphere'is
• Jõusta execInstalledOnly
• Kasutage virtuaalmasina krüptimist
• Eemaldage kasutuseta või aegunud virtuaalmasinad.
• Turvake ja koolitage abikeskust isikuandmete võltsimise taktika vastu.

2. kiht: Identiteedi- ja juurdepääsukaitse

• Rakenda andmepüügikindlat mitmefaktorilist autentimist (MFA).
• Eraldage kriitiline identiteediinfrastruktuur.
• Väldi ringautentimise sõltuvusi, mida ründajad saavad ära kasutada.

3. kiht: jälgimine ja varundamise isoleerimine

• Tsentraliseerige logide jälgimine võtmetaristust.
• Isoleerige varukoopiad Active Directory juurdepääsust.
• Veenduge, et varukoopiatele ei pääse ligi isegi ohustatud administraatorikontod.

Kokkuvõte: lunavarariski uus ajastu

vSphere'i ökosüsteemi, eriti ESXi hoste ja vCenter Serverit sihtiv lunavara kujutab endast tõsist ohtu oma kiire ja ulatusliku häire potentsiaali tõttu. Scattered Spideri tegevuse kalkuleeritud olemus rõhutab vajadust, et organisatsioonid oma kaitsepositsioonid ümber mõtleksid. Nende riskide eiramine või soovitatud vastumeetmete rakendamisega viivitamine võib kaasa tuua katastroofilisi tagajärgi, sealhulgas tõsiseid seisakuid, andmete kadu ja rahalist kahju.