El actor de amenazas apunta a proveedores de servicios de telecomunicaciones y altera los métodos defensivos cuando se detecta

En un ataque reciente, un actor de amenazas secuestró proveedores de servicios de telecomunicaciones y empresas de subcontratación de procesos comerciales, alterando diligentemente la mitigación defensiva que se aplicó cuando se detectaron los ataques.

Los ataques fueron descubiertos por CrowdStrike, que menciona que estos ataques han estado ocurriendo desde junio de 2022 y aún continúan, y los investigadores ya han identificado cinco intrusiones diferentes. Estos ataques parecen estar motivados por el dinero.

Los investigadores de la firma CrowdStrike que rastrearon estos ataques los alinearon con el Scattered Spider de baja confianza, que muestra persistencia en mantener el acceso, alterar la mitigación defensiva, evitar la detección y recurrir a diferentes objetivos válidos si se detiene.

Bueno, la firma de seguridad dice que el objetivo principal de las campañas es infiltrarse en los sistemas de red de telecomunicaciones, obtener acceso a la información de los suscriptores y realizar otras actividades como el intercambio de SIMs.

Los hackers obtienen acceso inicial a las telecomunicaciones corporativas aplicando numerosas técnicas de ingeniería social, que incluyen hacerse pasar por personal de telecomunicaciones, utilizando medios como SMS o una aplicación de mensajería instantánea como Telegram para redirigir a los objetivos a sitios web de phishing personalizados que tienen el logotipo de la empresa.

Bueno, si la empresa utiliza MFA (autenticación multifactor), los atacantes de amenazas luego despliegan notificaciones push de fatiga de MFA, que es esencialmente cuando un hacker ejecuta scripts que intentan iniciar sesión con las credenciales robadas, una y otra vez, haciendo que parezca un flujo interminable de solicitudes push de MFA al teléfono del propietario. Además, aplicando otras tácticas de ingeniería social.

Leer: ¿Qué es una cuenta desechable? ¿Es útil?

Además de esto, los hackers, en un caso, explotaron el CVE-2021-35464 para ejecutar códigos y elevar sus privilegios utilizando el caso de AWS aprovechando el caso de AWS para asumir o elevar privilegios al usuario de Apache tomcat, el actor de amenazas luego solicitará y asumirá el permiso de un rol de instancia utilizando un token de AWS infectado, menciona la firma de seguridad.

Además, una vez que los hackers obtienen acceso al sistema, intentan agregar sus dispositivos a la lista de listas de MFA confiables utilizando la cuenta de usuario comprometida.

CrowdStrike también descubrió que los hackers están utilizando los siguientes mecanismos de monitoreo remoto y herramientas de gestión para su campaña,

BeAnywhere  
Domotz  
DWservice  
Fixme.it  
AnyDesk  
Fleetdesk.io  
Itarian Endpoint Manager.  
Level.io  
ManageEngine   
N-Able  
Rport  
ScreenConnect  
Teamviewer  
TrendMicro Basecamp  
ZeroTier  
Pulseway  
Rsocx  
Logmein  
SSH RevShell y tunelización RDP a través de SSH  
Sorillus

La mayoría de estos son software de confianza que las corporaciones utilizan y es poco probable que generen alertas en el software de seguridad. Además, las intrusiones notadas por las firmas de seguridad mencionan que los hackers se volvieron feroces en sus intentos de mantener el acceso a la red violada incluso después de ser detectados.

Además, en las otras dos observaciones, los actores de amenazas aparentemente se volvieron más activos y desplegaron métodos de persistencia como el acceso a VPN (red privada virtual) o herramientas RMM si estas mitigaciones se aplicaban lentamente.

En algunos de los otros casos, el adversario volvió a algunos de los métodos severos reactivando las cuentas que habían sido deshabilitadas anteriormente por la organización víctima.

CrowdStrike agregó además que los actores de amenazas utilizaron varias VPN e ISP para acceder al entorno de Google Workspace de la organización víctima y los adversarios obtuvieron varios tipos de información de espionaje, descargaron listas de usuarios de los inquilinos comprometidos, explotaron WMI y tunelización SSH y replicaciones de dominio.

Leer: El malware Dolphin del grupo A37 utilizado para robar datos y atacar a un periódico surcoreano