Bedrohungsakteur zielt auf Telekommunikationsdienstleister ab und ändert Verteidigungsmethoden bei Entdeckung

In einem kürzlichen Angriff hat ein Bedrohungsakteur Telekommunikationsdienstleister und Unternehmen für Geschäftsprozess-Outsourcing übernommen und dabei sorgfältig die angewandten Verteidigungsmaßnahmen geändert, als die Angriffe entdeckt wurden.

Die Angriffe wurden von CrowdStrike aufgedeckt, die erwähnen, dass diese Angriffe seit Juni 2022 stattfinden und immer noch andauern. Die Forscher haben bereits fünf verschiedene Eindringlinge identifiziert. Diese Angriffe scheinen geldgetrieben zu sein.

Die Forscher der Firma CrowdStrike, die diese Angriffe verfolgt haben, ordneten diese dem wenig vertrauenswürdigen Scattered Spider zu, der Ausdauer zeigt, um den Zugriff aufrechtzuerhalten, Verteidigungsmaßnahmen zu ändern, Entdeckungen zu vermeiden und sich anderen gültigen Zielen zuzuwenden, wenn er gestoppt wird.

Nun, die Sicherheitsfirma sagt, dass das Hauptziel der Kampagnen darin besteht, in Telekommunikationsnetzwerksysteme einzudringen, Zugriff auf die Informationen der Abonnenten zu erhalten und andere Aktivitäten wie das Tauschen von SIM-Karten durchzuführen.

Die Hacker erhalten den ersten Zugriff auf die Unternehmens-Telekommunikation, indem sie zahlreiche Techniken der sozialen Manipulation anwenden, zu denen das Vortäuschen von Telekommitarbeitern gehört, die Nutzung von Medien wie SMS oder einer Instant-Messaging-App wie Telegram, um die Ziele auf maßgeschneiderte Phishing-Websites umzuleiten, die das Firmenlogo tragen.

Nun, wenn das Unternehmen MFA (Multi-Faktor-Authentifizierung) verwendet, setzen die Bedrohungsangreifer dann Push-Benachrichtigungen zur MFA-Müdigkeit ein, was im Wesentlichen bedeutet, dass ein Hacker Skripte ausführt, die versuchen, sich immer wieder mit den gestohlenen Anmeldedaten anzumelden, was sich wie ein endloser Strom von MFA-Push-Anfragen an das Telefon des Eigentümers anfühlt. Außerdem wenden sie andere Taktiken der sozialen Manipulation an.

Lesen: Was ist ein Burner-Konto? Ist es nützlich?

Darüber hinaus haben Hacker in einem Fall die CVE-2021-35464 ausgenutzt, um Codes auszuführen und ihre Berechtigungen zu erhöhen, indem sie den AWS-Fall ausnutzten, um Berechtigungen für den Apache Tomcat-Benutzer zu übernehmen oder zu erhöhen. Der Bedrohungsakteur wird dann die Berechtigung für eine Instanzrolle anfordern und übernehmen, indem er ein infiziertes AWS-Token verwendet, erwähnt die Sicherheitsfirma.

Darüber hinaus versuchen die Hacker, nachdem sie Zugriff auf das System erhalten haben, ihre Geräte zur Liste der vertrauenswürdigen MFA-Listen hinzuzufügen, indem sie das kompromittierte Benutzerkonto verwenden.

CrowdStrike stellte auch fest, dass die Hacker die folgenden Mechanismen zur Fernüberwachung und Verwaltung für ihre Kampagne verwenden,

BeAnywhere  
Domotz  
DWservice  
Fixme.it  
AnyDesk  
Fleetdesk.io  
Itarian Endpoint Manager.  
Level.io  
ManageEngine   
N-Able  
Rport  
ScreenConnect  
Teamviewer  
TrendMicro Basecamp  
ZeroTier  
Pulseway  
Rsocx  
Logmein  
SSH RevShell und RDP-Tunneling über SSH  
Sorillus

Die meisten dieser Software sind vertrauenswürdige Programme, die Unternehmen verwenden und wahrscheinlich keine Warnungen von Sicherheitssoftware auslösen. Darüber hinaus berichten die Sicherheitsfirmen, dass die Hacker in ihren Versuchen, den Zugriff auf das kompromittierte Netzwerk aufrechtzuerhalten, selbst nach der Entdeckung aggressiv vorgingen.

Darüber hinaus wurden in zwei weiteren Beobachtungen die Bedrohungsakteure anscheinend aktiver und setzten Persistenzmethoden wie VPN (Virtuelles Privates Netzwerk) oder RMM-Tools ein, wenn diese Maßnahmen langsam angewendet wurden.

In einigen anderen Fällen kehrte der Gegner zu einigen der schwerwiegenden Methoden zurück, indem er die Konten, die zuvor von der Opferorganisation deaktiviert wurden, wieder aktivierte.

CrowdStrike fügte weiter hinzu, dass die Bedrohungsakteure verschiedene VPNs und ISPs verwendeten, um auf die Google Workspace-Umgebung der Opferorganisation zuzugreifen, und die Gegner verschiedene Arten von Spionageinformationen erlangten, Benutzerlisten von den kompromittierten Mandanten herunterluden, WMI und SSH-Tunneling sowie Domänenreplikationen ausnutzten.

Lesen: Die Dolphin-Malware der A37-Gruppe wird verwendet, um Daten zu stehlen und südkoreanische Zeitungen ins Visier zu nehmen.