Атака програми-вимагача Scattered Spider
Scattered Spider, складна та агресивна кіберзлочинна група, посилила свої атаки на гіпервізори VMware ESXi. Зосереджуючись на ключових секторах, таких як роздрібна торгівля, авіакомпанії та транспорт у Північній Америці, операції групи є продуманими, навмисними та нищівно ефективними. Їхній успіх полягає не в програмних експлойтах, а в майстерності соціальної інженерії та маніпуляціях довіреними системами.
Зміст
Тактики без експлойтів: соціальна інженерія в основі
Замість використання вразливостей у програмному забезпеченні, Scattered Spider покладається на перевірену часом тактику: соціальну інженерію на основі телефонного зв'язку. Група часто зв'язується зі службами ІТ-довідки, щоб видати себе за легітимних співробітників, включаючи адміністраторів з високими привілеями. Ці дзвінки є частиною ширшої стратегії, спрямованої на кампанію, що робить їхні атаки аж ніяк не випадковими. Вони ретельно планують свої операції, щоб націлитися на найчутливіші системи та дані в організації.
Актори «Розсіяного павука» відомі тим, що реєструють оманливі домени, які дуже точно імітують інфраструктуру або портали входу їхніх цілей. Поширені моделі іменування включають:
- victimname-sso.com
- victimname-okta.com
- victimname-servicedesk.com
- sso-victimname.com
- servicenow-victimname.com
Від служби підтримки до гіпервізора: багатофазний ланцюг атак
Методологія атаки Scattered Spider розгортається через п'ять стратегічних фаз, кожна з яких розроблена для посилення доступу та мінімізації виявлення:
Початковий доступ та підвищення привілеїв
Зловмисники починають із соціальної інженерії, щоб видавати себе за співробітників, збирати облікові дані та внутрішню документацію. Вони часто витягують дані з менеджерів паролів, таких як HashiCorp Vault, та використовують процеси ІТ-підтримки для скидання паролів адміністраторів.
Бічний рух до vSphere
Використовуючи облікові дані Active Directory, зіставлені з середовищами VMware, вони отримують доступ до vCenter Server Appliance (vCSA). Інструмент під назвою teleport розгортається для створення зашифрованої зворотної оболонки, яка обходить правила брандмауера та встановлює постійний доступ.
Маніпуляції гіпервізором та вилучення даних
SSH увімкнено на хостах ESXi, паролі root скинуто, і виконано атаку «підміни диска». Це включає вимикання віртуальної машини контролера домену, від’єднання її віртуального диска, підключення його до віртуальної машини, контрольованої зловмисником, та вилучення бази даних NTDS.dit перед зворотним процесом.
Вимкнення механізмів відновлення
Завдання резервного копіювання, знімки та репозиторії видаляються, щоб виключити можливості відновлення та посилити вплив атаки.
Розгортання програм-вимагачів
Користувацькі бінарні файли програм-вимагачів надсилаються через SCP або SFTP на скомпрометовані хости ESXi, шифруючи критично важливі системи у віртуальному середовищі.
Швидкість і прихильність розсіяного павука
Що відрізняє Scattered Spider, також відомого під такими псевдонімами, як 0ktapus, Muddled Libra, Octo Tempest та UNC3944, від традиційних учасників атаки програм-вимагачів, так це швидкість та прихованість їхніх операцій. Експерти зазначають, що вся атака, від початкового доступу до розгортання програм-вимагачів, може відбутися протягом кількох годин. У деяких випадках понад 100 ГБ даних було викрадено менш ніж за 48 годин. Групу також пов'язали з програмою вимагачів DragonForce, що ще більше посилило їхні можливості.
Зміна оборонних стратегій: від EDR до інфраструктурно-орієнтованої безпеки
Через природу цих атак стандартних інструментів виявлення та реагування на кінцеві точки (EDR) може бути недостатньо. Захист від Scattered Spider вимагає цілісного, інфраструктуроорієнтованого підходу. Наполегливо рекомендується наступна багаторівнева стратегія захисту:
Рівень 1: Захист vSphere та гіпервізора
- Увімкнути режим блокування на vSphere
- Застосувати execInstalledOnly
- Використовувати шифрування віртуальної машини
- Виведіть з експлуатації невикористовувані або застарілі віртуальні машини.
- Захистіть та навчіть службу підтримки проти тактики видавання себе за іншу особу.
Рівень 2: Захист ідентифікації та доступу
- Впроваджуйте багатофакторну автентифікацію (MFA), стійку до фішингу.
- Відокремте критичну інфраструктуру ідентифікації.
- Уникайте циклічних залежностей автентифікації, які можуть використовувати зловмисники.
Рівень 3: Моніторинг та ізоляція резервного копіювання
- Централізуйте моніторинг журналів з ключової інфраструктури.
- Ізолюйте резервні копії від доступу до Active Directory.
- Забезпечте доступ до резервних копій навіть для скомпрометованих облікових записів адміністраторів.
Висновок: Нова ера ризику програм-вимагачів
Програми-вимагачі, що націлені на екосистему vSphere, зокрема на хости ESXi та vCenter Server, становлять серйозну загрозу через свій потенціал для швидких та масштабних порушень. Розрахунковий характер операцій Scattered Spider підкреслює необхідність для організацій переосмислити свої захисні позиції. Ігнорування цих ризиків або затримка впровадження рекомендованих контрзаходів може призвести до катастрофічних наслідків, включаючи серйозні простої, втрату даних та фінансові збитки.
