छरिएका स्पाइडर र्‍यान्समवेयर आक्रमण

स्क्याटर्ड स्पाइडर, एक परिष्कृत र आक्रामक साइबर अपराध समूहले VMware ESXi हाइपरभाइजरहरू विरुद्ध आफ्नो आक्रमण बढाएको छ। उत्तरी अमेरिकामा खुद्रा, एयरलाइन्स र यातायात जस्ता प्रमुख क्षेत्रहरूलाई लक्षित गर्दै, समूहको सञ्चालन गणना गरिएको, जानाजानी र विनाशकारी रूपमा प्रभावकारी छ। तिनीहरूको सफलता सफ्टवेयर शोषणमा होइन तर सामाजिक इन्जिनियरिङ र विश्वसनीय प्रणालीहरूको हेरफेरमा निपुणतामा निहित छ।

शोषण बिनाको रणनीति: सामाजिक इन्जिनियरिङको मूल

सफ्टवेयरमा भएका कमजोरीहरूको शोषण गर्नुको सट्टा, स्क्याटरड स्पाइडरले परीक्षण गरिएको र परीक्षण गरिएको रणनीतिमा भर पर्छ: फोन-आधारित सामाजिक इन्जिनियरिङ। समूहले उच्च-विशेषाधिकार प्रशासकहरू सहित वैध कर्मचारीहरूको नक्कल गर्न प्रायः IT मद्दत डेस्कहरूलाई सम्पर्क गर्दछ। यी कलहरू फराकिलो अभियान-संचालित रणनीतिको अंश हुन्, जसले गर्दा तिनीहरूको आक्रमणहरू अनियमित मात्र हुन्छन्। तिनीहरूले संगठन भित्रको सबैभन्दा संवेदनशील प्रणाली र डेटालाई लक्षित गर्न आफ्नो सञ्चालनको सावधानीपूर्वक योजना बनाउँछन्।

स्क्याटर्ड स्पाइडर एक्टरहरू भ्रामक डोमेनहरू दर्ता गर्नका लागि परिचित छन् जसले तिनीहरूको लक्ष्यहरूको पूर्वाधार वा लगइन पोर्टलहरूको नजिकबाट नक्कल गर्दछ। सामान्य नामकरण ढाँचाहरूमा समावेश छन्:

• पीडितको नाम-sso.com
• पीडितको नाम-okta.com
• पीडितको नाम-servicedesk.com
• sso-victimname.com मा
• servicenow-victimname.com मा

हेल्प डेस्कदेखि हाइपरभाइजरसम्म: बहु-चरण आक्रमण श्रृंखला

स्क्याटर्ड स्पाइडरको आक्रमण पद्धति पाँच रणनीतिक चरणहरू मार्फत प्रकट हुन्छ, प्रत्येक पहुँच बढाउन र पत्ता लगाउने क्षमता कम गर्न डिजाइन गरिएको हो:

प्रारम्भिक पहुँच र विशेषाधिकार वृद्धि
आक्रमणकारीहरूले कर्मचारीहरूको नक्कल गर्न, प्रमाणहरू सङ्कलन गर्न र आन्तरिक कागजातहरू सङ्कलन गर्न सामाजिक इन्जिनियरिङबाट सुरु गर्छन्। तिनीहरू प्रायः HashiCorp Vault जस्ता पासवर्ड प्रबन्धकहरूबाट डेटा निकाल्छन् र प्रशासक पासवर्डहरू रिसेट गर्न IT समर्थन प्रक्रियाहरूको शोषण गर्छन्।

vSphere मा पार्श्व आन्दोलन
VMware वातावरणमा म्याप गरिएका सक्रिय निर्देशिका प्रमाणहरू प्रयोग गरेर, तिनीहरूले vCenter सर्भर उपकरण (vCSA) पहुँच गर्छन्। टेलिपोर्ट भनिने उपकरणलाई एन्क्रिप्टेड रिभर्स शेल सिर्जना गर्न तैनाथ गरिएको छ जसले फायरवाल नियमहरूलाई बाइपास गर्छ र निरन्तर पहुँच स्थापित गर्दछ।

हाइपरभाइजर हेरफेर र डेटा निकासी
ESXi होस्टहरूमा SSH सक्षम पारिएको छ, रूट पासवर्डहरू रिसेट गरिएका छन्, र 'डिस्क-स्व्याप' आक्रमण कार्यान्वयन गरिएको छ। यसमा डोमेन नियन्त्रक VM बन्द गर्ने, यसको भर्चुअल डिस्कलाई अलग गर्ने, आक्रमणकारी-नियन्त्रित VM मा संलग्न गर्ने, र प्रक्रिया उल्टाउनु अघि NTDS.dit डाटाबेस निकाल्ने समावेश छ।

रिकभरी संयन्त्रहरू असक्षम पार्दै
रिकभरी विकल्पहरू हटाउन र आक्रमणको प्रभावलाई बढाउन ब्याकअप कार्यहरू, स्न्यापशटहरू, र भण्डारहरू मेटाइन्छ।

र्‍यान्समवेयर डिप्लोयमेन्ट
कस्टम र्यान्समवेयर बाइनरीहरू SCP वा SFTP मार्फत सम्झौता गरिएका ESXi होस्टहरूमा धकेलिन्छन्, जसले भर्चुअल वातावरणमा महत्वपूर्ण प्रणालीहरूलाई इन्क्रिप्ट गर्दछ।

छरिएको माकुरोको गति र रहस्य

०ktapus, Muddled Libra, Octo Tempest, र UNC3944 जस्ता उपनामहरूले पनि चिनिने Scattered Spider लाई परम्परागत ransomware अभिनेताहरू भन्दा फरक पार्ने कुरा भनेको तिनीहरूको सञ्चालनको गति र चोरी हो। विज्ञहरूले ध्यान दिन्छन् कि प्रारम्भिक पहुँचदेखि ransomware तैनातीसम्मको सम्पूर्ण आक्रमण केही घण्टा भित्रै हुन सक्छ। केही उदाहरणहरूमा, ४८ घण्टा भन्दा कम समयमा १०० GB भन्दा बढी डाटा निकालिएको छ। समूहलाई DragonForce ransomware कार्यक्रमसँग पनि जोडिएको छ, जसले तिनीहरूको क्षमताहरूलाई अझ बढाउँछ।

रक्षा रणनीतिहरू परिवर्तन गर्दै: EDR बाट पूर्वाधार-केन्द्रित सुरक्षामा

यी आक्रमणहरूको प्रकृतिको कारणले गर्दा, मानक अन्त्य बिन्दु पत्ता लगाउने र प्रतिक्रिया (EDR) उपकरणहरू पर्याप्त नहुन सक्छन्। छरिएका स्पाइडर विरुद्धको रक्षा गर्न समग्र, पूर्वाधार-केन्द्रित दृष्टिकोण आवश्यक पर्दछ। निम्न तहगत रक्षा रणनीति दृढतापूर्वक सिफारिस गरिन्छ:

तह १: vSphere र हाइपरभाइजर कडा पार्ने

• vSphere मा लकडाउन मोड सक्षम गर्नुहोस्
• execInstalledOnly लागू गर्नुहोस्
• VM इन्क्रिप्सन प्रयोग गर्नुहोस्
• प्रयोग नगरिएका वा पुराना भर्चुअल मेसिनहरू रिटायर गर्नुहोस्।
• नक्कल गर्ने रणनीतिहरू विरुद्ध मद्दत डेस्कलाई सुरक्षित र तालिम दिनुहोस्।

तह २: पहिचान र पहुँच सुरक्षा

• फिसिङ-प्रतिरोधी बहु-कारक प्रमाणीकरण (MFA) लागू गर्नुहोस्।
• महत्वपूर्ण पहिचान पूर्वाधारलाई अलग गर्नुहोस्।
• आक्रमणकारीहरूले शोषण गर्न सक्ने गोलाकार प्रमाणीकरण निर्भरताहरूबाट बच्नुहोस्।

तह ३: अनुगमन र ब्याकअप आइसोलेसन

• प्रमुख पूर्वाधारबाट लग अनुगमनलाई केन्द्रीकृत गर्नुहोस्।
• सक्रिय निर्देशिका पहुँचबाट ब्याकअपहरू अलग गर्नुहोस्।

निष्कर्ष: र्‍यान्समवेयर जोखिमको नयाँ युग

vSphere इकोसिस्टम, विशेष गरी ESXi होस्टहरू र vCenter सर्भरलाई लक्षित गर्ने Ransomware ले द्रुत, ठूलो मात्रामा अवरोधको सम्भावनाको कारणले गम्भीर खतरा निम्त्याउँछ। Scattered Spider को सञ्चालनको गणना गरिएको प्रकृतिले संस्थाहरूलाई आफ्नो प्रतिरक्षा मुद्राहरूमा पुनर्विचार गर्ने आवश्यकतालाई हाइलाइट गर्दछ। यी जोखिमहरूलाई बेवास्ता गर्नाले वा सिफारिस गरिएका प्रतिरक्षा उपायहरूको कार्यान्वयनमा ढिलाइ गर्नाले गम्भीर डाउनटाइम, डेटा हानि र वित्तीय क्षति सहित विनाशकारी परिणामहरू निम्त्याउन सक्छ।