Dengan serangan baru-baru ini terhadap pengecer UK Marks & Spencer dan Co-op, yang disebut Spider yang tersebar telah berada di seluruh media, dengan liputan yang tumpah ke berita utama karena keparahan gangguan-saat ini tampak seperti ratusan juta keuntungan yang hilang untuk M&S saja.
Cakupan ini sangat berharga bagi komunitas keamanan dunia maya karena meningkatkan kesadaran akan pertempuran yang diperjuangkan tim keamanan setiap hari. Tapi itu juga menciptakan banyak kebisingan yang bisa membuatnya rumit untuk memahami gambaran besarnya.
Jadi, inilah tiga hal yang mungkin Anda lewatkan – beberapa yang mungkin sudah Anda ketahui, dan yang lain yang mungkin tidak Anda sadari jika Anda belum melacak laba -laba yang tersebar di luar serangan baru -baru ini.
1. Tidak ada yang namanya laba -laba yang tersebar
Sebagai sebuah komunitas, kami kadang -kadang lupa bahwa memberikan nama keren pada pola aktivitas aktor ancaman dapat membuat sensasional dan membuat supervillain dari penjahat. Yang mengatakan, nama keren lengket, dan memiliki peluang yang lebih baik untuk diakui dan diadopsi secara umum, yang bermanfaat untuk berbagi intelijen.
Tetapi kita perlu ingat bahwa laba -laba yang tersebar tidak menyebut diri mereka laba -laba yang tersebar. Crowdstrike melakukannya. Dan ada banyak nama lain yang diberikan pada pola aktivitas dan teknik yang kita kenal sebagai laba -laba yang tersebar:
-
UNC3944 (Mandiant)
-
Octo Tempest (Microsoft)
-
0ktapus (grup-IB)
-
Libra yang kacau (unit 42)
-
Pencar babi (okta)
Tapi itu tidak sesederhana itu, karena tidak ada batasan yang jelas. Pola aktivitas yang diklasifikasikan analis sebagai laba-laba yang tersebar menyentuh sejumlah kelompok kriminal yang disebutkan sendiri, Lapsus $, Yanluowang, KarakurtDan Shinyhunters (Di belakang serangan kepingan salju pada tahun 2024).
Biasanya, “merek” utama yang dibuat oleh penyerang tumpang tindih dengan kru ransomware/pemerasan, yang sering memiliki encryptor dan platform ransomware yang unik (atau setidaknya dimodifikasi).
Ini menjelaskan nama keren lainnya yang banyak muncul dalam pelaporan baru-baru ini-Dragonforce-menciptakan beberapa kebingungan di sekitar khusus yang mengeksekusi serangan terhadap M&S dan co-op. Tidak seperti Spider yang tersebar, Dragonforce adalah grup ransomware-as-a-service yang menyediakan layanan perkakas dan spesialis untuk disewa untuk afiliasi seperti Spider yang tersebar.
Mereka bukan orang -orang yang melaksanakan serangan itu, tetapi para penjahat yang diklasifikasikan di bawah “Spider yang tersebar” secara efektif menggunakan layanan mereka dan perangkat lunak enkripsi setelah mereka menyelesaikan intrusi awal.
Apa yang mendefinisikan laba -laba yang tersebar?
Jadi, ini membingungkan, tetapi yang benar -benar kami lacak adalah pola perilaku yang terkait dengan daerah operasi tertentu.
Ketika Anda memikirkan laba-laba yang tersebar, Anda mungkin diingatkan tentang serangkaian penangkapan yang terjadi sepanjang tahun 2024. Namun, serangan terus berlanjut-karena kita tidak berbicara tentang sekelompok orang tertentu yang erat, tetapi komunitas atau kolektif penjahat yang lebih luas, semuanya menggunakan teknik serupa, dengan tujuan akhir yang sama-menghasilkan uang (biasanya melalui pencurian data, dan ransom, dan ransom, dan ransom.
Jadi, apa yang mendefinisikan apa yang disebut laba-laba tersebar?
-
Terutama penutur asli bahasa Inggris yang terletak terutama di negara-negara berbahasa Inggris-Inggris, AS, Kanada, Australia-tetapi dengan aktivitas juga ditelusuri ke daratan Eropa, Rusia, dan India.
Kehadiran laba -laba yang tersebar
Sumber: Mandiant -
Penggunaan taktik, teknik, dan prosedur berbasis identitas (TTP) yang berspesialisasi dalam phishing, serangan kredensial, penipuan desk help/vishing, bertukar sim, smishing, dll.-Semua dirancang untuk mencapai pengambilalihan akun.
-
Teknik-teknik yang sadar cloud, seperti menargetkan akun penyedia identitas cloud modern seperti Okta dan Microsoft Entra, dan menyalahgunakan layanan dan lingkungan cloud.
Ketika kita memikirkan Spider yang tersebar, kita memikirkan penyerang cloud-asli klasik yang telah tumbuh di era modern komputasi dan layanan internet di mana menjadi peretas kurang tentang eksploitasi jaringan daripada tentang masuk ke akun di aplikasi dan layanan. Ini adalah orang -orang yang mungkin memotong gigi mereka dalam penipuan kartu kredit dan bentuk penipuan internet lainnya daripada menjelajah internet untuk server yang terbuka dan port terbuka.
Jadi mereka identitas-pertama, tetapi lebih penting dari itu, mereka fleksibel dan mudah beradaptasi. Mereka juga bersedia mengejar setiap perusahaan yang menghadirkan peluang.
2. Penipuan Bantuan Meja Bukan Baru
Kisah utama dari kampanye baru -baru ini melawan pengecer Inggris adalah penggunaan penipuan Help Desk. Ini biasanya melibatkan penyerang yang memanggil meja bantuan perusahaan dengan beberapa tingkat informasi-minimal, PII yang memungkinkan mereka untuk menyamar sebagai korban mereka, dan kadang-kadang kata sandi, sangat bersandar pada kemampuan berbahasa Inggris asli mereka untuk menipu operator meja bantuan agar memberi mereka akses ke akun pengguna.
Cara kerjanya
Tujuan dari penipuan meja bantuan adalah untuk mendapatkan operator meja bantuan untuk mengatur ulang kredensial dan/atau MFA yang digunakan untuk mengakses akun sehingga penyerang dapat mengendalikannya. Mereka akan menggunakan berbagai backstories dan taktik untuk menyelesaikannya, tetapi sebagian besar waktu sesederhana mengatakan “Saya punya telepon baru, dapatkah Anda menghapus MFA saya yang ada dan memungkinkan saya untuk mendaftarkan yang baru?”
Dari sana, penyerang kemudian dikirim tautan reset MFA melalui email atau SMS. Biasanya, ini akan dikirim ke, misalnya, angka pada file – tetapi pada titik ini, penyerang telah menetapkan kepercayaan dan melewati proses desk bantuan ke tingkat tertentu. Jadi bertanya “Bisakah Anda mengirimkannya ke alamat email ini” atau “Saya sebenarnya punya nomor baru juga, dapatkah Anda mengirimkannya ke …” Mendapatkan ini dikirim langsung ke penyerang.
Pada titik ini, ini hanyalah kasus menggunakan fungsi reset kata sandi layanan mandiri untuk OKTA atau entra (yang dapat Anda berkeliling karena Anda sekarang memiliki faktor MFA untuk memverifikasi diri sendiri) dan voila, penyerang telah mengambil kendali atas akun tersebut.
Dan bagian terbaiknya? Sebagian besar meja bantuan memiliki proses yang sama untuk setiap akun – tidak masalah siapa yang Anda nyatakan atau akun mana yang Anda coba ulangi. Jadi, penyerang secara khusus menargetkan akun yang kemungkinan memiliki hak istimewa admin tingkat atas – artinya begitu mereka masuk, memajukan serangan itu sepele dan banyak eskalasi hak istimewa yang khas dan gerakan lateral dihapus dari jalur serangan.
Jadi, bantuan penipuan meja telah terbukti menjadi cara yang dapat diandalkan untuk melewati MFA dan mencapai pengambilalihan akun – pijakan untuk meluncurkan serangan lainnya, seperti mencuri data, menggunakan ransomware, dll.
Ini bukan rodeo pertama mereka
Tetapi sesuatu yang tidak cukup terjadi dalam pelaporan adalah bahwa Spider yang tersebar telah melakukan ini dengan sukses sejak 2022, dengan serangan M&S dan Co-op hanya ujung gunung es. Vishing (memanggil pengguna untuk membuat mereka melepaskan kode MFA mereka) telah menjadi bagian dari toolkit mereka sejak awal, dengan serangan awal pada Twilio, LastPass, Riot Games, dan Coinbase yang melibatkan beberapa bentuk rekayasa sosial berbasis suara.
Khususnya, serangan profil tinggi pada Caesars, resor MGM, dan transportasi untuk London semua terlibat memanggil meja bantuan untuk mengatur ulang kredensial sebagai vektor akses awal.
-
Caesars Pada bulan Agustus 2023 di mana peretas menyamar sebagai pengguna TI dan meyakinkan meja bantuan outsourcing untuk mengatur ulang kredensial, setelah itu penyerang mencuri basis data program loyalitas pelanggan dan mendapatkan pembayaran tebusan $ 15 juta.
-
Resor MGM Pada bulan September 2023, di mana peretas menggunakan informasi LinkedIn untuk menyamar sebagai karyawan dan mengatur ulang kredensial karyawan, menghasilkan pencurian data 6TB. Setelah MGM menolak untuk membayar, serangan itu akhirnya menghasilkan pemadaman 36 jam, hit $ 100 juta, dan gugatan class action diselesaikan untuk $ 45 juta.
-
Transportasi untuk London Pada bulan September 2024 mengakibatkan 5.000 rincian bank pengguna terungkap, 30.000 staf diharuskan menghadiri janji temu secara langsung untuk memverifikasi identitas mereka dan mengatur ulang kata sandi, dan gangguan signifikan terhadap layanan online yang berlangsung selama berbulan-bulan.
Jadi tidak hanya Spider yang tersebar telah menggunakan teknik -teknik ini selama beberapa waktu, tetapi keparahan dan dampak serangan ini telah meningkat.
Menghindari Bantuan Meja Gotcha
Ada banyak saran untuk mengamankan meja bantuan yang diedarkan, tetapi banyak saran masih menghasilkan proses yang dapat diproduksi atau sulit diimplementasikan.
Pada akhirnya, organisasi perlu siap untuk memperkenalkan gesekan pada proses bantuan meja mereka dan baik menunda atau menolak permintaan dalam situasi di mana ada risiko yang signifikan. Jadi, misalnya, memiliki proses untuk reset MFA yang mengenali risiko yang terkait dengan mengatur ulang akun yang sangat istimewa:
-
Memerlukan persetujuan / eskalasi multi-partai untuk reset akun tingkat admin
-
Membutuhkan verifikasi langsung jika proses tidak dapat diikuti dari jarak jauh
-
Freeze Self-Service Resets Ketika perilaku mencurigakan ditemui (ini akan membutuhkan semacam proses internal dan pelatihan kesadaran untuk meningkatkan alarm jika serangan dicurigai)
Dan hati -hati dengan gotcha ini:
-
Jika Anda menerima panggilan, praktik yang baik adalah untuk menghentikan panggilan dan memanggil nomor pada file untuk karyawan. Tapi, di dunia pertukaran SIM, ini bukan solusi yang sangat mudah-Anda bisa saja meredul ulang penyerang.
-
Jika solusi Anda adalah membuat karyawan di depan kamera, Deepfake yang semakin canggih dapat menggagalkan pendekatan ini.
Tapi, meja bantuan adalah target karena suatu alasan. Mereka “membantu” secara alami. Ini biasanya tercermin dalam cara mereka dioperasikan dan kinerja diukur – penundaan tidak akan membantu Anda mencapai SLA itu! Pada akhirnya, suatu proses hanya berfungsi jika karyawan bersedia mematuhinya – dan tidak dapat direkayasa secara sosial untuk memecahkannya.
Meja bantuan yang dihapus dari operasi sehari-hari (terutama ketika di-outsourcing atau offshored) juga secara inheren rentan terhadap serangan di mana karyawan disamar.
Tapi, serangan yang kami alami saat ini harus memberi banyak amunisi kepada para pemangku kepentingan keamanan mengapa bantuan reformasi meja sangat penting untuk mengamankan bisnis (dan apa yang bisa terjadi jika Anda tidak melakukan perubahan).
3. Laba -laba yang tersebar tidak hanya membantu penipuan meja
Semua yang dikatakan, ada gambaran yang lebih besar di sini – penipuan meja bantuan bukan satu -satunya alat di toolkit laba -laba yang tersebar.
Mereka telah secara konsisten menggunakan berbagai teknik, dengan afinitas khusus untuk pertukaran SIM, smishing, dan bahkan phishing kredensial dasar (biasanya ditargetkan pada akun OKTA).
Dan tahun ini, para peneliti keamanan telah mengamati laba-laba yang tersebar semakin menggunakan alat phishing penyerang-di-tengah-tengah (AITM) untuk memotong MFA.
Sumber: Peneliti di Silentpush
Ini sangat sesuai merek untuk laba-laba yang tersebar. Mereka secara eksklusif menggunakan metode berbasis identitas untuk intrusi awal mereka, yang semuanya dirancang untuk memotong MFA dan mencapai pengambilalihan akun.
Serangan mereka biasanya sangat langsung. Laba -laba yang tersebar cenderung langsung untuk akun yang telah meningkatkan izin, memungkinkan mereka untuk dengan cepat memajukan serangan mereka.
Misalnya, dalam serangan 2023 MGM, penyerang secara langsung mengakses akun dengan izin admin super di Okta, yang mereka kombinasi dengan Federasi Masuk Serang untuk menyamar sebagai pengguna mana pun di penyewa, dapatkan hak istimewa Azure Admin, dan mengotentikasi lingkungan VMware yang di-host-azure di mana mereka menggunakan ransomware.
Mereka juga telah menunjukkan bahwa mereka secara khusus menargetkan server VMware sebagai target mereka untuk penyebaran/enkripsi ransomware, yang dicatat dalam serangan MGM dan M&S. Dengan menargetkan Hypervisor VMware (biasanya dengan menambahkan identitas yang dikompromikan ke kelompok admin di vcentre), mereka dapat secara sadar menghindari kontrol tingkat akhir yang berjalan pada mesin virtual itu sendiri, seperti EDR.
Terutama jika kita mempertimbangkan gambaran yang lebih besar dengan kelompok -kelompok yang berdekatan seperti shinyhunters, yang ada di belakang Serangan kepingan salju pada tahun 2024dan tingkat keparahan serangan mereka, kita dapat melihat tujuan yang sama tetapi berbagai cara untuk mencapai tujuan itu.
Serangan kepingan salju memanfaatkan kredensial curian dari infeksi infosteal sebelumnya yang berasal dari tahun 2021 untuk masuk ke akun tanpa MFA (dengan celah MFA yang meluas merupakan masalah besar karena sifat manajemen identitas salju pada saat itu), yang mengakibatkan ratusan juta catatan yang dilanggar di 165 korban.
Anda juga dapat melihat Grup seperti Lapsus $yang juga menunjukkan teknik yang sangat mirip di masa lalu.
Jadi secara ringkas, Spider yang tersebar menggunakan berbagai teknik berbasis identitas untuk mengambil alih akun istimewa untuk intrusi awal mereka, yang semuanya dirancang untuk memotong MFA. Mereka tidak terikat dengan teknik spesifik apa pun, dan akan menggunakan cara apa pun yang diperlukan dalam kerangka kerja berbasis identitas untuk menyelesaikan pekerjaan.
Kesimpulan
Anda dapat menganggap laba-laba yang tersebar sebagai semacam aktor ancaman “post-MFA” yang melakukan segala yang mereka bisa untuk menghindari kontrol keamanan yang mapan.
Dengan menargetkan identitas dan pengambilalihan akun, mereka melewati titik akhir dan permukaan jaringan sebanyak mungkin, sampai akhir rantai serangan – pada titik mana hampir terlambat untuk mengandalkan kontrol tersebut.
Jadi, jangan berlebihan pada penipuan Bantuan Desk-Anda perlu mempertimbangkan permukaan serangan identitas Anda yang lebih luas dan berbagai metode intrusi, dari aplikasi dan akun dengan kesenjangan MFA, akun lokal yang memberi penyerang sebuah backdoor ke dalam akun yang diakses dengan SSO, dan MFA-Bypassing AITM Phishing Kits yang merupakan normal baru untuk serangan phining.
Ingin tahu lebih banyak tentang Spider yang tersebar?
Tonton webinar berdasarkan permintaan ini dari para peneliti di Push Security Untuk mempelajari lebih lanjut tentang evolusi TTP Spider yang tersebar dan apa yang dapat Anda lakukan untuk mempertahankan organisasi Anda.
Pelajari Bagaimana Dorong Keamanan Menghentikan Serangan Identitas
Push Security menyediakan deteksi serangan identitas yang komprehensif dan kemampuan respons terhadap teknik seperti phishing AITM, isian kredensial, penyemprotan kata sandi dan pembajakan sesi menggunakan token sesi curian. Anda juga dapat menggunakan dorongan untuk menemukan dan memperbaiki kerentanan identitas di setiap aplikasi yang digunakan karyawan Anda, seperti: Ghost Login; Kesenjangan cakupan SSO; Kesenjangan MFA; kata sandi yang lemah, dilanggar dan digunakan kembali; integrasi oauth yang berisiko; dan lebih banyak lagi.
Jika Anda ingin mempelajari lebih lanjut tentang bagaimana dorongan membantu Anda mendeteksi dan mengalahkan teknik serangan identitas umum, Pesan waktu dengan salah satu tim kami untuk demo langsung.
Disponsori dan ditulis oleh Dorong keamanan.
