ការវាយប្រហារ Spider Ransomware ខ្ចាត់ខ្ចាយ

Scattered Spider ដែលជាក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដ៏ស្មុគ្រស្មាញ និងឈ្លានពាន បានបង្កើនការវាយប្រហាររបស់ខ្លួនប្រឆាំងនឹង VMware ESXi hypervisors ។ ដោយកំណត់គោលដៅលើវិស័យសំខាន់ៗដូចជាការលក់រាយ ក្រុមហ៊ុនអាកាសចរណ៍ និងការដឹកជញ្ជូននៅអាមេរិកខាងជើង ប្រតិបត្តិការរបស់ក្រុមត្រូវបានគណនាដោយចេតនា និងមានប្រសិទ្ធភាពយ៉ាងខ្លាំង។ ភាពជោគជ័យរបស់ពួកគេមិនស្ថិតនៅលើការកេងប្រវ័ញ្ចផ្នែកទន់ទេ ប៉ុន្តែនៅក្នុងជំនាញវិស្វកម្មសង្គម និងការរៀបចំប្រព័ន្ធដែលគួរឱ្យទុកចិត្ត។

យុទ្ធសាស្ត្រដោយគ្មានការកេងប្រវ័ញ្ច៖ វិស្វកម្មសង្គមនៅស្នូល

ជាជាងការទាញយកភាពងាយរងគ្រោះនៅក្នុងកម្មវិធី Scattered Spider ពឹងផ្អែកលើយុទ្ធសាស្ត្រដែលបានសាកល្បង និងសាកល្បង៖ វិស្វកម្មសង្គមផ្អែកលើទូរស័ព្ទ។ ក្រុមនេះជារឿយៗទាក់ទងទៅតុជំនួយ IT ដើម្បីក្លែងធ្វើជាបុគ្គលិកស្របច្បាប់ រួមទាំងអ្នកគ្រប់គ្រងដែលមានសិទ្ធិខ្ពស់។ ការហៅទូរសព្ទទាំងនេះគឺជាផ្នែកមួយនៃយុទ្ធសាស្ត្រដែលជំរុញដោយយុទ្ធនាការកាន់តែទូលំទូលាយ ដោយធ្វើឱ្យការវាយប្រហាររបស់ពួកគេកើតឡើងដោយចៃដន្យ។ ពួកគេរៀបចំផែនការប្រតិបត្តិការរបស់ពួកគេយ៉ាងល្អិតល្អន់ដើម្បីកំណត់គោលដៅប្រព័ន្ធ និងទិន្នន័យដែលរសើបបំផុតនៅក្នុងស្ថាប័នមួយ។

តួអង្គពីងពាងដែលខ្ចាត់ខ្ចាយត្រូវបានគេស្គាល់ថាសម្រាប់ការចុះឈ្មោះដែនបញ្ឆោតដែលធ្វើត្រាប់តាមហេដ្ឋារចនាសម្ព័ន្ធ ឬច្រកចូលនៃគោលដៅរបស់ពួកគេ។ គំរូនៃឈ្មោះទូទៅរួមមាន:

• ឈ្មោះជនរងគ្រោះ-sso.com
• ឈ្មោះជនរងគ្រោះ-okta.com
• ឈ្មោះជនរងគ្រោះ-servicedesk.com
• sso-victimname.com
• servicenow-victimname.com

ពី Help Desk ទៅ Hypervisor: ខ្សែសង្វាក់វាយប្រហារច្រើនដំណាក់កាល

វិធីសាស្រ្តនៃការវាយប្រហាររបស់ Scattered Spider លាតត្រដាងតាមរយៈដំណាក់កាលយុទ្ធសាស្ត្រចំនួនប្រាំ ដែលនីមួយៗត្រូវបានរចនាឡើងដើម្បីបង្កើនការចូលប្រើប្រាស់ និងកាត់បន្ថយការរកឃើញ៖

ការចូលប្រើដំបូង និងការបង្កើនសិទ្ធិ
អ្នកវាយប្រហារចាប់ផ្តើមជាមួយនឹងវិស្វកម្មសង្គម ដើម្បីក្លែងបន្លំបុគ្គលិក ប្រមូលព័ត៌មានអត្តសញ្ញាណ និងប្រមូលឯកសារផ្ទៃក្នុង។ ជារឿយៗពួកគេទាញយកទិន្នន័យពីអ្នកគ្រប់គ្រងពាក្យសម្ងាត់ដូចជា HashiCorp Vault និងទាញយកដំណើរការគាំទ្រផ្នែកព័ត៌មានវិទ្យាដើម្បីកំណត់ពាក្យសម្ងាត់អ្នកគ្រប់គ្រងឡើងវិញ។

ចលនាចំហៀងទៅ vSphere
តាមរយៈការប្រើប្រាស់ព័ត៌មានសម្គាល់ Active Directory ដែលបានគូសផែនទីទៅនឹងបរិស្ថាន VMware ពួកគេចូលប្រើ vCenter Server Appliance (vCSA)។ ឧបករណ៍ដែលហៅថា teleport ត្រូវបានដាក់ឱ្យប្រើប្រាស់ដើម្បីបង្កើតសែលបញ្ច្រាសដែលបានអ៊ិនគ្រីបដែលរំលងច្បាប់ជញ្ជាំងភ្លើង និងបង្កើតការចូលប្រើប្រាស់ជាប់លាប់។

ឧបាយកល Hypervisor និងការទាញយកទិន្នន័យ
SSH ត្រូវបានបើកនៅលើម៉ាស៊ីន ESXi ពាក្យសម្ងាត់ root ត្រូវបានកំណត់ឡើងវិញ ហើយការវាយប្រហារ 'disk-swap' ត្រូវបានប្រតិបត្តិ។ វាពាក់ព័ន្ធនឹងការបិទ Domain Controller VM ការផ្ដាច់ថាសនិម្មិតរបស់វា ភ្ជាប់វាទៅ VM ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ និងការទាញយកមូលដ្ឋានទិន្នន័យ NTDS.dit មុនពេលដំណើរការបញ្ច្រាស។

ការបិទយន្តការស្តារឡើងវិញ
ការងារបម្រុងទុក រូបថត និងឃ្លាំងត្រូវបានលុប ដើម្បីលុបបំបាត់ជម្រើសនៃការស្តារឡើងវិញ និងពង្រីកឥទ្ធិពលនៃការវាយប្រហារ។

ការដាក់ពង្រាយ Ransomware
ប្រព័ន្ធគោលពីរ ransomware ផ្ទាល់ខ្លួនត្រូវបានរុញតាមរយៈ SCP ឬ SFTP ទៅកាន់ម៉ាស៊ីន ESXi ដែលត្រូវបានសម្របសម្រួល ដោយអ៊ិនគ្រីបប្រព័ន្ធសំខាន់ៗនៅទូទាំងបរិស្ថាននិម្មិត។

ល្បឿន និងការបំបាំងកាយនៃសត្វពីងពាងដែលខ្ចាត់ខ្ចាយ

អ្វីដែលកំណត់ Scattered Spider ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយដូចជា 0ktapus, Muddled Libra, Octo Tempest និង UNC3944 ក្រៅពីតួអង្គ ransomware បែបប្រពៃណី គឺជាល្បឿន និងការបំបាំងកាយនៃប្រតិបត្តិការរបស់ពួកគេ។ អ្នកជំនាញកត់សម្គាល់ថា ការវាយប្រហារទាំងមូលចាប់ពីការចូលប្រើដំបូងរហូតដល់ការដាក់ពង្រាយ ransomware អាចកើតឡើងក្នុងរយៈពេលតែប៉ុន្មានម៉ោងប៉ុណ្ណោះ។ ក្នុងករណីខ្លះ ទិន្នន័យលើសពី 100 GB ត្រូវបានស្រង់ចេញក្នុងរយៈពេលតិចជាង 48 ម៉ោង។ ក្រុមនេះក៏ត្រូវបានភ្ជាប់ជាមួយនឹងកម្មវិធី DragonForce ransomware ដែលបង្កើនសមត្ថភាពរបស់ពួកគេឱ្យកាន់តែទូលំទូលាយថែមទៀត។

ការផ្លាស់ប្តូរយុទ្ធសាស្ត្រការពារ៖ ពី EDR ទៅសន្តិសុខហេដ្ឋារចនាសម្ព័ន្ធ-កណ្តាល

ដោយសារតែធម្មជាតិនៃការវាយប្រហារទាំងនេះ ឧបករណ៍រកឃើញចំណុចបញ្ចប់ស្តង់ដារ និងការឆ្លើយតប (EDR) ប្រហែលជាមិនគ្រប់គ្រាន់ទេ។ ការការពារប្រឆាំងនឹងសត្វពីងពាងដែលខ្ចាត់ខ្ចាយ ទាមទារវិធីសាស្រ្តរួម ហេដ្ឋារចនាសម្ព័ន្ធជាចំណុចកណ្តាល។ យុទ្ធសាស្ត្រការពារស្រទាប់ខាងក្រោមត្រូវបានណែនាំយ៉ាងខ្លាំង៖

ស្រទាប់ទី 1៖ vSphere និង Hypervisor Hardening

• បើកមុខងារចាក់សោរនៅលើ vSphere
• អនុវត្ត execInstalledOnly
• ប្រើការអ៊ិនគ្រីប VM
• ចូលនិវត្តន៍ម៉ាស៊ីននិម្មិតដែលមិនប្រើ ឬហួសសម័យ។
• ធានាសុវត្ថិភាព និងបណ្តុះបណ្តាលតុជំនួយប្រឆាំងនឹងយុទ្ធសាស្ត្រក្លែងបន្លំ។

ស្រទាប់ទី 2៖ អត្តសញ្ញាណ និងការការពារការចូលប្រើ

• អនុវត្តការផ្ទៀងផ្ទាត់ពហុកត្តាដែលធន់នឹងការបន្លំ (MFA)។
• បំបែកហេដ្ឋារចនាសម្ព័ន្ធអត្តសញ្ញាណសំខាន់ៗ។
• ជៀសវាងភាពអាស្រ័យការផ្ទៀងផ្ទាត់រាងជារង្វង់ដែលអ្នកវាយប្រហារអាចទាញយកប្រយោជន៍បាន។

ស្រទាប់ទី 3៖ ការត្រួតពិនិត្យ និងការបម្រុងទុកដាច់ដោយឡែក

• គ្រប់គ្រងការត្រួតពិនិត្យកំណត់ហេតុពីរចនាសម្ព័ន្ធសំខាន់ៗ។
• ញែកការបម្រុងទុកពីការចូលប្រើ Active Directory ។

សេចក្តីសន្និដ្ឋាន៖ យុគសម័យថ្មីនៃហានិភ័យ Ransomware

Ransomware ដែលផ្តោតលើប្រព័ន្ធអេកូ vSphere ជាពិសេសម៉ាស៊ីន ESXi និង vCenter Server បង្កការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដោយសារតែសក្តានុពលរបស់វាសម្រាប់ការរំខានទ្រង់ទ្រាយធំយ៉ាងឆាប់រហ័ស។ ធម្មជាតិដែលបានគណនានៃប្រតិបត្តិការរបស់ Scattered Spider បង្ហាញពីតម្រូវការសម្រាប់អង្គការដើម្បីគិតឡើងវិញនូវឥរិយាបថការពាររបស់ពួកគេ។ ការមិនអើពើនឹងហានិភ័យទាំងនេះ ឬការពន្យារពេលការអនុវត្តវិធានការតបតដែលបានណែនាំអាចនាំឱ្យមានផលវិបាកមហន្តរាយ រួមទាំងពេលវេលារងចាំធ្ងន់ធ្ងរ ការបាត់បង់ទិន្នន័យ និងការខូចខាតផ្នែកហិរញ្ញវត្ថុ។