قیمت چند مجوز تخفیف
پایگاه داده تهدید باج افزار حمله باج‌افزار Scattered Spider

حمله باج‌افزار Scattered Spider

تا Mezo در باج افزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

Scattered Spider، یک گروه جرایم سایبری پیچیده و تهاجمی، حملات خود را علیه هایپروایزرهای VMware ESXi افزایش داده است. این گروه با هدف قرار دادن بخش‌های کلیدی مانند خرده‌فروشی، خطوط هوایی و حمل و نقل در آمریکای شمالی، عملیات خود را محاسبه‌شده، عمدی و به طرز ویرانگری مؤثر انجام می‌دهد. موفقیت آنها نه در سوءاستفاده‌های نرم‌افزاری، بلکه در تسلط آنها بر مهندسی اجتماعی و دستکاری سیستم‌های مورد اعتماد نهفته است.

تاکتیک‌های بدون سوءاستفاده: مهندسی اجتماعی در هسته

گروه Scattered Spider به جای سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری، از یک تاکتیک امتحان‌شده و آزمایش‌شده استفاده می‌کند: مهندسی اجتماعی مبتنی بر تلفن. این گروه اغلب با میزهای کمک فناوری اطلاعات تماس می‌گیرد تا خود را به جای پرسنل قانونی، از جمله مدیران با دسترسی بالا، جا بزند. این تماس‌ها بخشی از یک استراتژی گسترده‌تر مبتنی بر کمپین هستند که حملات آنها را به چیزی جز تصادفی تبدیل نمی‌کند. آنها عملیات خود را با دقت برنامه‌ریزی می‌کنند تا حساس‌ترین سیستم‌ها و داده‌های درون یک سازمان را هدف قرار دهند.

عوامل Scattered Spider به خاطر ثبت دامنه‌های فریبنده‌ای که دقیقاً زیرساخت یا پورتال‌های ورود به سیستم اهدافشان را تقلید می‌کنند، شناخته می‌شوند. الگوهای نامگذاری رایج عبارتند از:

  • victimname-sso.com
  • victimname-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

از میز کمک تا هایپروایزر: زنجیره حمله چند مرحله‌ای

روش حمله Scattered Spider از طریق پنج مرحله استراتژیک آشکار می‌شود که هر کدام برای افزایش دسترسی و به حداقل رساندن تشخیص طراحی شده‌اند:

دسترسی اولیه و افزایش امتیاز
مهاجمان با مهندسی اجتماعی شروع به جعل هویت کارمندان، جمع‌آوری اطلاعات احراز هویت و جمع‌آوری اسناد داخلی می‌کنند. آن‌ها اغلب داده‌ها را از برنامه‌های مدیریت رمز عبور مانند HashiCorp Vault استخراج می‌کنند و از فرآیندهای پشتیبانی فناوری اطلاعات برای تنظیم مجدد رمزهای عبور مدیر سوءاستفاده می‌کنند.

حرکت جانبی به vSphere
با استفاده از اعتبارنامه‌های Active Directory که به محیط‌های VMware نگاشت شده‌اند، آنها به vCenter Server Appliance (vCSA) دسترسی پیدا می‌کنند. ابزاری به نام teleport برای ایجاد یک پوسته معکوس رمزگذاری شده مستقر می‌شود که قوانین فایروال را دور می‌زند و دسترسی مداوم را برقرار می‌کند.

دستکاری و استخراج داده‌ها در هایپروایزر
SSH روی میزبان‌های ESXi فعال می‌شود، رمزهای عبور ریشه تنظیم مجدد می‌شوند و یک حمله «تعویض دیسک» اجرا می‌شود. این شامل خاموش کردن یک ماشین مجازی کنترل‌کننده دامنه، جدا کردن دیسک مجازی آن، اتصال آن به یک ماشین مجازی تحت کنترل مهاجم و استخراج پایگاه داده NTDS.dit قبل از معکوس کردن فرآیند است.

غیرفعال کردن مکانیسم‌های بازیابی
کارهای پشتیبان‌گیری، اسنپ‌شات‌ها و مخازن حذف می‌شوند تا گزینه‌های بازیابی از بین بروند و تأثیر حمله افزایش یابد.

استقرار باج‌افزار
فایل‌های باج‌افزار سفارشی از طریق SCP یا SFTP به میزبان‌های ESXi آسیب‌دیده ارسال می‌شوند و سیستم‌های حیاتی را در سراسر محیط مجازی رمزگذاری می‌کنند.

سرعت و پنهان‌کاری Scattered Spider

چیزی که Scattered Spider، که با نام‌های مستعاری مانند 0ktapus، Muddled Libra، Octo Tempest و UNC3944 نیز شناخته می‌شود، را از عاملان سنتی باج‌افزار متمایز می‌کند، سرعت و مخفی‌کاری عملیات آنهاست. کارشناسان خاطرنشان می‌کنند که کل حمله، از دسترسی اولیه تا استقرار باج‌افزار، می‌تواند تنها در عرض چند ساعت رخ دهد. در برخی موارد، بیش از ۱۰۰ گیگابایت داده در کمتر از ۴۸ ساعت استخراج شده است. این گروه همچنین با برنامه باج‌افزار DragonForce مرتبط دانسته شده است که قابلیت‌های آنها را بیش از پیش تقویت می‌کند.

تغییر استراتژی‌های دفاعی: از EDR به امنیت متمرکز بر زیرساخت

با توجه به ماهیت این حملات، ابزارهای استاندارد تشخیص و پاسخ به نقاط پایانی (EDR) ممکن است کافی نباشند. دفاع در برابر Scattered Spider نیاز به یک رویکرد جامع و متمرکز بر زیرساخت دارد. استراتژی دفاع لایه‌ای زیر اکیداً توصیه می‌شود:

لایه ۱: مقاوم‌سازی vSphere و Hypervisor

  • فعال کردن حالت قفل (Lockdown Mode) در vSphere
  • اجرای execInstalledOnly
  • استفاده از رمزگذاری ماشین مجازی
  • ماشین‌های مجازی بلااستفاده یا قدیمی را از رده خارج کنید.
  • میز کمک را در برابر تاکتیک‌های جعل هویت ایمن و آموزش دهید.

لایه ۲: حفاظت از هویت و دسترسی

  • احراز هویت چند عاملی (MFA) مقاوم در برابر فیشینگ را پیاده‌سازی کنید.
  • زیرساخت‌های هویت حیاتی را تفکیک کنید.
  • از وابستگی‌های احراز هویت دایره‌ای که مهاجمان می‌توانند از آنها سوءاستفاده کنند، اجتناب کنید.

لایه ۳: جداسازی نظارت و پشتیبان‌گیری

  • نظارت بر لاگ‌ها را از زیرساخت‌های کلیدی متمرکز کنید.
  • پشتیبان‌گیری‌ها را از دسترسی به Active Directory جدا کنید.
  • اطمینان حاصل کنید که نسخه‌های پشتیبان حتی برای حساب‌های کاربری ادمینِ در معرض خطر نیز غیرقابل دسترسی هستند.

    • نتیجه‌گیری: دوران جدیدی از ریسک باج‌افزار

    باج‌افزاری که اکوسیستم vSphere، به‌ویژه میزبان‌های ESXi و سرور vCenter را هدف قرار می‌دهد، به دلیل پتانسیل ایجاد اختلال سریع و در مقیاس بزرگ، تهدیدی جدی محسوب می‌شود. ماهیت محاسبه‌شده عملیات Scattered Spider، نیاز سازمان‌ها به بازنگری در وضعیت دفاعی خود را برجسته می‌کند. نادیده گرفتن این خطرات یا تأخیر در اجرای اقدامات متقابل توصیه‌شده می‌تواند منجر به عواقب فاجعه‌باری از جمله خرابی شدید، از دست رفتن داده‌ها و خسارت مالی شود.

    پرطرفدار

    اندروید یک کلاهبرداری شنود تلفنی را شناسایی کرده است

    وب سایت های سرکش
    تهدیدات سایبری دیگر محدود به بدافزارهای پیچیده‌ای که شرکت‌های بزرگ را هدف قرار می‌دهند، نیستند. کاربران عادی نیز به همان اندازه احتمال دارد که قربانی شوند، اغلب از طریق تاکتیک‌های مهندسی اجتماعی که...

    Ecergerwagonal.com

    وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
    احتیاط در هنگام مرور وب بیش از یک پیشنهاد است، بلکه یک ضرورت است. کلاهبرداران دائماً از آسیب‌پذیری‌ها، چه فنی و چه انسانی، سوءاستفاده می‌کنند تا کاربران ناآگاه را به دام‌هایی بیندازند که برای سرقت...

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    35,973
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...