Išsibarsčiusios vorų išpirkos reikalaujančios programinės įrangos ataka
„Scattered Spider“ – sudėtinga ir agresyvi kibernetinių nusikaltimų grupuotė – suintensyvino atakas prieš „VMware ESXi“ hipervizorius. Grupės veiksmai, nukreipti į pagrindinius sektorius, tokius kaip mažmeninė prekyba, avialinijos ir transportas Šiaurės Amerikoje, yra apgalvoti, apgalvoti ir nepaprastai veiksmingi. Jų sėkmė slypi ne programinės įrangos spragų išnaudojime, o socialinės inžinerijos ir patikimų sistemų manipuliavimo įgūdžiuose.
Turinys
Taktika be išnaudojimų: socialinė inžinerija iš esmės
Užuot išnaudojusi programinės įrangos pažeidžiamumus, „Scattered Spider“ remiasi patikrinta taktika: socialine inžinerija telefonu. Grupė dažnai susisiekia su IT pagalbos tarnybomis, kad apsimestų teisėtais darbuotojais, įskaitant aukštų privilegijų administratorius. Šie skambučiai yra platesnės kampanijos strategijos dalis, todėl jų atakos toli gražu nėra atsitiktinės. Jie kruopščiai planuoja savo operacijas, kad nukreiptų į jautriausias organizacijos sistemas ir duomenis.
„Scattered Spider“ veikėjai yra žinomi dėl to, kad registruoja apgaulingus domenus, kurie labai imituoja jų taikinių infrastruktūrą ar prisijungimo portalus. Įprasti pavadinimų modeliai:
- aukosvardas-sso.com
- aukosvardas-okta.com
- aukos_pavadinimas-servicedesk.com
- sso-aukosvardas.com
- servicenow-victimname.com
Nuo pagalbos tarnybos iki hipervizoriaus: daugiafazė atakų grandinė
„Scattered Spider“ atakos metodika susideda iš penkių strateginių etapų, kurių kiekvienas skirtas prieigos didinimui ir aptikimo mažinimui:
Pradinė prieiga ir privilegijų eskalavimas
Užpuolikai pradeda nuo socialinės inžinerijos, kad apsimestų darbuotojais, išgautų prisijungimo duomenis ir surinktų vidinę dokumentaciją. Jie dažnai išgauna duomenis iš slaptažodžių tvarkyklių, tokių kaip „HashiCorp Vault“, ir išnaudoja IT palaikymo procesus, kad iš naujo nustatytų administratoriaus slaptažodžius.
Šoninis judėjimas į vSphere
Naudodami „Active Directory“ prisijungimo duomenis, susietus su „VMware“ aplinkomis, jie pasiekia „vCenter Server Appliance“ (vCSA). Įdiegiama priemonė, vadinama „teleport“, kuri sukuria užšifruotą atvirkštinį apvalkalą, apeinantį užkardos taisykles ir užtikrinantį nuolatinę prieigą.
Hipervizoriaus manipuliavimas ir duomenų išgavimas
ESXi pagrindiniuose kompiuteriuose įjungiamas SSH, iš naujo nustatomi root slaptažodžiai ir vykdoma „disko keitimo“ ataka. Tai apima domeno valdiklio virtualiosios mašinos išjungimą, jo virtualiojo disko atjungimą, prijungimą prie užpuoliko valdomos virtualiosios mašinos ir NTDS.dit duomenų bazės išskleidimą prieš proceso atšaukimą.
Atkūrimo mechanizmų išjungimas
Atsarginių kopijų kūrimo užduotys, momentinės kopijos ir saugyklos ištrinamos, siekiant panaikinti atkūrimo parinktis ir sustiprinti atakos poveikį.
Išpirkos reikalaujančių programų diegimas
Pasirinktiniai išpirkos reikalaujančių programų dvejetainiai failai per SCP arba SFTP siunčiami į pažeistus ESXi pagrindinius kompiuterius, šifruojant svarbiausias sistemas visoje virtualioje aplinkoje.
Išsibarsčiusio voro greitis ir slaptumas
„Scattered Spider“, dar žinoma tokiais slapyvardžiais kaip 0ktapus, „Muddled Libra“, „Octo Tempest“ ir UNC3944, nuo tradicinių išpirkos reikalaujančių programų kūrėjų skiria jų operacijų greitis ir slaptumas. Ekspertai pažymi, kad visa ataka – nuo pradinės prieigos iki išpirkos reikalaujančios programinės įrangos diegimo – gali įvykti vos per kelias valandas. Kai kuriais atvejais per mažiau nei 48 valandas buvo pavogta daugiau nei 100 GB duomenų. Grupė taip pat buvo susieta su išpirkos reikalaujančių programų programa „DragonForce“, o tai dar labiau sustiprino jų galimybes.
Besikeičiančios gynybos strategijos: nuo EDR iki infrastruktūros saugumo
Dėl šių atakų pobūdžio standartinių galinių taškų aptikimo ir reagavimo (EDR) įrankių gali nepakakti. Apsisaugoti nuo „Scattered Spider“ reikia holistinio, į infrastruktūrą orientuoto požiūrio. Primygtinai rekomenduojama ši daugiasluoksnė gynybos strategija:
1 sluoksnis: vSphere ir hipervizoriaus apsaugos stiprinimas
- Įgalinti užrakinimo režimą „vSphere“ sistemoje
- Įgyvendinti „execInstalledOnly“
- Naudoti VM šifravimą
- Pašalinkite nenaudojamas arba pasenusias virtualias mašinas.
- Apsaugokite pagalbos tarnybą nuo apsimetinėjimo taktikos ir apmokykite ją kovoti.
2 sluoksnis: tapatybės ir prieigos apsauga
- Įdiegti sukčiavimui atsparų daugiafaktorinį autentifikavimą (MFA).
- Atskirkite kritinę tapatybės infrastruktūrą.
- Venkite ciklinio autentifikavimo priklausomybių, kuriomis gali pasinaudoti užpuolikai.
3 sluoksnis: Stebėjimas ir atsarginių kopijų izoliavimas
- Centralizuokite žurnalų stebėjimą iš pagrindinės infrastruktūros.
- Izoliuokite atsargines kopijas nuo prieigos prie „Active Directory“.
- Užtikrinkite, kad atsarginės kopijos būtų nepasiekiamos net pažeistoms administratoriaus paskyroms.
Išvada: nauja išpirkos reikalaujančių programų rizikos era
Išpirkos reikalaujanti programinė įranga, skirta „vSphere“ ekosistemai, ypač „ESXi“ pagrindiniams kompiuteriams ir „vCenter Server“, kelia rimtą grėsmę dėl galimo greito ir didelio masto sutrikdymo. Apskaičiuotas „Scattered Spider“ operacijų pobūdis pabrėžia, kad organizacijos turi persvarstyti savo gynybos pozicijas. Šių rizikų ignoravimas arba rekomenduojamų atsakomųjų priemonių įgyvendinimo atidėjimas gali sukelti katastrofiškų pasekmių, įskaitant dideles prastovas, duomenų praradimą ir finansinę žalą.
