Kalıcı bir izinsiz giriş kampanyası, Haziran 2022’den bu yana gözlerini telekomünikasyon ve iş süreci dış kaynak kullanımı (BPO) şirketlerine dikti.
“Bu kampanyanın nihai amacı, mobil operatör ağlarına erişim elde etmek ve iki soruşturmada kanıtlandığı gibi, SIM değiştirme etkinlik,” CrowdStrike araştırmacısı Tim Parisi söz konusu geçen hafta yayınlanan bir analizde.
Mali amaçlı saldırılar, siber güvenlik şirketi tarafından Scattered Spider olarak izlenen bir aktöre atfedildi.
Hedef ortama ilk erişimin, telefon görüşmeleri ve Telegram aracılığıyla gönderilen mesajlar kullanılarak BT personelinin kimliğine bürünmeye kadar uzanan çeşitli yöntemlerle gerçekleştirildiği söyleniyor.
Bu teknik, kurbanları kimlik bilgileri toplama sitesine yönlendirmek veya Zoho Assist ve Getscreen.me gibi ticari uzaktan izleme ve yönetim (RMM) araçlarını yüklemeleri için kandırmak için kullanılır.
Hedef hesapların iki faktörlü kimlik doğrulama (2FA) ile güvence altına alınması durumunda, tehdit faili ya kurbanı tek seferlik şifreyi paylaşmaya ikna etti ya da Cisco ve Uber’in son ihlallerinde kullanılan hızlı bombalama adı verilen bir teknik kullandı. .
CrowdStrike tarafından gözlemlenen alternatif bir bulaşma zincirinde, bir kullanıcının daha önce bilinmeyen yollarla elde edilen çalınan kimlik bilgileri, saldırgan tarafından kuruluşun Azure kiracısının kimliğini doğrulamak için kullanıldı.
Başka bir örnek, ForgeRock OpenAM erişim yönetimi çözümünde (CVE-2021-35464) geçen yıl aktif olarak sömürüye giren, artık yama uygulanmış kritik bir uzaktan kod yürütme hatasının kötüye kullanılmasıydı.
Saldırıların çoğu ayrıca, güvenliği ihlal edilmiş varlığın çok faktörlü kimlik doğrulama (MFA) konsoluna erişim sağlayarak kendi cihazlarını kaydetmeyi ve bunları daha önce kimlik bilgileri ele geçirilmiş olan kullanıcılara atamayı gerektirdi.
Bu teknik, Scattered Spider’ın kırmızı bayrakları yükseltmekten kaçınmak için AnyDesk, LogMeIn ve ConnectWise Control (eski adıyla ScreenConnect) gibi meşru uzaktan erişim araçları aracılığıyla daha derin bir kalıcılık düzeyi oluşturmasına izin verdi.
İlk erişim ve kalıcılık adımlarını, Windows, Linux, Google Workspace, Azure Active Directory, Microsoft 365 ve AWS ortamlarının keşfi ve yanal hareketin yürütülmesi ve ayrıca belirli durumlarda VPN ve MFA kayıt verilerinin dışarı sızması için ek araçların indirilmesi takip eder.
Parisi, “Bu kampanyalar son derece ısrarcı ve küstahtır,” dedi. “Düşman kontrol altına alındığında veya operasyonlar kesintiye uğradığında, telekom ve BPO sektörlerindeki diğer kuruluşları hedef almak için hemen harekete geçerler.”