Mandiant merinci bagaimana ShinyHunter menyalahgunakan SSO untuk mencuri data cloud

Mandiant mengatakan gelombang serangan pencurian data SaaS ShinyHunters baru-baru ini dipicu oleh serangan phishing suara (vishing) yang ditargetkan dan situs phishing bermerek perusahaan yang mencuri kredensial sistem masuk tunggal (SSO) dan kode otentikasi multi-faktor (MFA).

Sebagai pertama kali dilaporkan oleh BleepingComputerpelaku ancaman menyamar sebagai staf IT dan pusat bantuan perusahaan serta menelepon karyawan secara langsung, mengklaim bahwa pengaturan MFA perlu diperbarui. Selama panggilan berlangsung, karyawan yang menjadi sasaran diarahkan ke situs phishing yang menyerupai portal login perusahaan mereka.

Menurut Okesitus-situs ini menggunakan perangkat phishing canggih yang memungkinkan pelaku ancaman menampilkan dialog interaktif saat bertelepon dengan korban.

Saat masih berbicara dengan karyawan yang ditargetkan, penyerang menyampaikan kredensial yang dicuri secara real-time, memicu tantangan MFA yang sah, dan memberi tahu target cara merespons, termasuk menyetujui pemberitahuan push atau memasukkan kode sandi satu kali.

Hal ini memungkinkan penyerang berhasil mengautentikasi dengan kredensial yang dicuri dan mendaftarkan perangkat mereka sendiri di MFA.

Setelah mereka mendapatkan akses ke akun, mereka masuk ke dasbor Okta, Microsoft Entra, atau Google SSO organisasi, yang bertindak sebagai hub terpusat yang mencantumkan semua aplikasi SaaS yang izin aksesnya dimiliki pengguna.

Aplikasi ini termasuk Salesforce, a target utama ShinyHuntersMicrosoft 365, SharePoint, DocuSign, Slack, Atlassian, Dropbox, Google Drive, dan banyak platform internal dan pihak ketiga lainnya.

Bagi pelaku ancaman yang berfokus pada pencurian dan pemerasan data, dasbor SSO menjadi batu loncatan menuju data cloud perusahaan, sehingga memungkinkan mereka mengakses beberapa layanan dari satu akun yang disusupi.

Kelompok pemerasan ShinyHunters dikonfirmasi ke BleepingComputer bahwa mereka dan beberapa afiliasinya berada di balik serangan ini. Kelompok pemeras juga mengklaim bahwa pelaku ancaman lainnya telah melakukan serangan serupa.

Segera setelah informasi tentang serangan ini dipublikasikan, geng pemerasan ShinyHunters meluncurkan situs pembocoran data, di mana mereka mulai membocorkan data yang terkait dengan serangan ini.

Hari ini, Grup Intelijen Ancaman Google/Mandiant merilis laporan mengatakan pihaknya melacak aktivitas ini di berbagai kelompok ancaman yang dilacak UNC6661, UNC6671Dan UNC6240 (Pemburu Berkilau).

Berbagai pelaku ancaman sedang melakukan serangan

Mandiant mengatakan UNC6661 berperan sebagai staf TI ketika menelepon karyawan yang ditargetkan dan mengarahkan mereka ke domain phishing bermerek perusahaan yang digunakan untuk menangkap kredensial SSO dan kode MFA. Setelah masuk, penyerang mendaftarkan perangkat MFA mereka sendiri untuk mempertahankan akses.

Mereka menggunakan akses ini untuk mencuri data dari aplikasi cloud berdasarkan izin apa pun yang tersedia melalui sesi SSO yang disusupi. Mandiant yakin aktivitas ini bersifat oportunistik, karena pelaku ancaman menargetkan aplikasi SaaS apa pun yang tersedia.

Namun, perlu dicatat bahwa ShinyHunters pernah memberi tahu BleepingComputer bahwa fokus utama mereka adalah data Salesforce.

Mandiant membagikan contoh log yang dibuat selama serangan pencurian data:

• Peristiwa Microsoft 365 dan SharePoint memperlihatkan pengunduhan file di mana Agen Pengguna mengidentifikasi PowerShell, yang menunjukkan skrip atau alat digunakan untuk mengunduh data.
• Aktivitas login Salesforce yang berasal dari alamat IP yang kemudian diidentifikasi digunakan oleh pelaku ancaman.
• Log audit DocuSign menunjukkan pengunduhan dokumen massal yang terkait dengan IOC yang sama.

Dalam satu pelanggaran yang melibatkan pelanggan Okta, Mandiant mengatakan bahwa penyerang mengaktifkan add-on Google Workspace yang disebut “Penarikan ToogleBox,” alat yang mereka gunakan untuk mencari dan menghapus email untuk menyembunyikan aktivitas mereka.

“Setidaknya dalam satu insiden ketika pelaku ancaman mendapatkan akses ke akun pelanggan Okta, UNC6661 mengaktifkan add-on ToogleBox Recall untuk akun Google Workspace korban, sebuah alat yang dirancang untuk mencari dan menghapus email secara permanen,” jelas Mandiant.

“Mereka kemudian menghapus email ‘Metode keamanan terdaftar’ dari Okta, hampir pasti untuk mencegah karyawan tersebut mengidentifikasi bahwa akun mereka dikaitkan dengan perangkat MFA baru.

Mandiant mengatakan bahwa domain internet yang digunakan dalam serangan UNC6661 didaftarkan melalui NICENIC dan biasanya menggunakan format tersebut sso.com atau internal.com.

Meskipun serangan intrusi dan pencurian data awal dikaitkan dengan UNC6661, Mandiant mengatakan tuntutan pemerasan dikirim oleh ShinyHunters, alias UNC6240, dan menyertakan ID pengirim pesan Tox yang digunakan oleh mereka dalam upaya pemerasan di masa lalu.

Mandiant mengatakan kluster ancaman lain yang dilacak sebagai UNC6671 menggunakan teknik vishing serupa, namun domain phishingnya didaftarkan melalui Tucows.

Berbeda dengan UNC6661, tuntutan pemerasan UNC6671 tidak dikirimkan atas nama ShinyHunters, menggunakan Tox ID yang berbeda untuk negosiasi, dan menggunakan taktik tekanan agresif, termasuk melecehkan personel perusahaan.

Mandiant mengatakan domain phishing yang digunakan dalam serangan ini mengikuti pola penamaan umum yang dirancang untuk meniru portal perusahaan.

• Portal SSO Perusahaan: jadi[.]com, milikkujadi[.]com, dan saya-jadi[.]com
• Portal dalaman: intern[.]com, www.intern[.]com, dan milikkuintern[.]com
• Tema dukungan dan helpdesk: mendukung[.]com, tiket-[.]dukungan, dan dukungan-[.]com
• Peniruan identitas penyedia identitas: okta[.]com, biru langit[.]com, dan seterusnyaKamu tahu[.]com
• Akses portal: mengakses[.]com, www.mengakses[.]com, dan milikkumengakses[.]com

Misalnya, pertandinganinternal[.]com digunakan di pelanggaran baru-baru ini di Grup Pertandinganyang mengungkap data untuk situs kencan Hinge, Tinder, OkCupid, dan Match yang populer.

Mandiant mencatat bahwa banyak alamat IP yang terkait dengan kampanye milik layanan VPN komersial atau jaringan proxy perumahan, seperti Mullvad, Oxylabs, NetNut, 9Proxy, Infatica, dan nsocks

Mandiant juga mengatakan bahwa para pembela HAM harus memprioritaskan deteksi perilaku berikut untuk mengidentifikasi jenis serangan berikut:

• Penyusupan akun SSO diikuti dengan eksfiltrasi data yang cepat dari platform SaaS.
• Agen Pengguna PowerShell mengakses SharePoint atau OneDrive
• Otorisasi OAuth Google Workspace yang tidak terduga untuk ToogleBox Recall
• Penghapusan email pemberitahuan modifikasi MFA

Untuk membantu organisasi bertahan melawan jenis serangan ini, Mandiant telah dirilis rekomendasi pengerasan, pencatatan, dan deteksi terhadap serangan vishing ShinyHunters.

Panduan ini disusun seputar memperkuat alur kerja identitas dan pengaturan ulang autentikasi, mencatat telemetri yang tepat, dan deteksi yang dirancang untuk menemukan perilaku pasca-vishing sebelum pencurian data terjadi.

Mandiant juga punya aturan yang dirilis agar Google SecOps mendeteksi aktivitas ShinyHunters.