Un acteur de menace cible les fournisseurs de services de télécommunications et modifie les méthodes de défense lorsqu'il est détecté

Dans une attaque récente, un acteur de menace a détourné des fournisseurs de services de télécommunications et des entreprises de sous-traitance de processus commerciaux, modifiant diligemment l’atténuation défensive qui a été appliquée lorsque les attaques ont été détectées.

Les attaques ont été découvertes par CrowdStrike, qui mentionne que ces attaques se poursuivent depuis juin 2022 et continuent encore, et les chercheurs ont déjà identifié cinq intrusions différentes. Ces attaques semblent être motivées par l’argent.

Les chercheurs de la société CrowdStrike qui ont suivi ces attaques les ont alignées sur le Scattered Spider à faible confiance, qui montre une persistance à maintenir l’accès, à modifier l’atténuation défensive, à éviter la détection et à se tourner vers différentes cibles valides si elles sont arrêtées.

Eh bien, la société de sécurité dit que l’objectif principal des campagnes est de pénétrer dans les systèmes de réseau de télécommunications, d’accéder aux informations des abonnés et de mener d’autres activités telles que l’échange de cartes SIM.

Les hackers obtiennent un accès initial à la télécommunication d’entreprise en appliquant de nombreuses techniques d’ingénierie sociale, qui incluent l’usurpation d’identité du personnel de télécommunications, utilisant des moyens comme les SMS ou une application de messagerie instantanée comme Telegram pour rediriger les cibles vers des sites de phishing personnalisés qui portent le logo de l’entreprise.

Eh bien, si l’entreprise utilise l’authentification multi-facteurs (MFA), les attaquants menacent alors de déployer des notifications push de fatigue MFA, qui est essentiellement lorsque un hacker exécute des scripts qui tentent de se connecter avec les identifiants volés, encore et encore, donnant l’impression d’un flux sans fin de demandes push MFA au téléphone du propriétaire. De plus, en appliquant d’autres tactiques d’ingénierie sociale.

Lire : Qu’est-ce qu’un compte temporaire ? Est-il utile ?

En plus de cela, les hackers, dans un cas, ont exploité le CVE-2021-35464 pour exécuter des codes et élever leurs privilèges en utilisant le cas AWS, profitant du cas AWS pour assumer ou élever les privilèges à l’utilisateur Apache tomcat, l’acteur de menace demandera ensuite et assumera la permission d’un rôle d’instance en utilisant un jeton AWS infecté, mentionne la société de sécurité.

De plus, une fois que les hackers ont accès au système, ils essaient d’ajouter leurs appareils à la liste des listes MFA de confiance en utilisant le compte utilisateur compromis.

CrowdStrike a également découvert que les hackers utilisent les mécanismes de surveillance à distance et les outils de gestion suivants pour leur campagne,

BeAnywhere  
Domotz  
DWservice  
Fixme.it  
AnyDesk  
Fleetdesk.io  
Itarian Endpoint Manager.  
Level.io  
ManageEngine   
N-Able  
Rport  
ScreenConnect  
Teamviewer  
TrendMicro Basecamp  
ZeroTier  
Pulseway  
Rsocx  
Logmein  
SSH RevShell et tunneling RDP via SSH  
Sorillus

La plupart de ces logiciels sont des logiciels de confiance utilisés par les entreprises et sont peu susceptibles de déclencher des alertes sur les logiciels de sécurité. De plus, les intrusions remarquées par les sociétés de sécurité mentionnent que les hackers sont devenus féroces dans leurs tentatives de maintenir l’accès au réseau compromis même après avoir été détectés.

De plus, dans les deux autres observations, les acteurs de menace semblent être devenus plus actifs et ont déployé des méthodes de persistance telles que l’accès VPN (réseau privé virtuel) ou des outils RMM si ces atténuations étaient appliquées lentement.

Dans certains des autres cas, l’adversaire est revenu à certaines des méthodes de gravité en réactivant les comptes qui avaient été précédemment désactivés par l’organisation victime.

CrowdStrike a ajouté que les acteurs de menace ont utilisé divers VPN et FAI pour accéder à l’environnement Google Workspace de l’organisation victime et les adversaires ont obtenu divers types d’informations d’espionnage, téléchargé des listes d’utilisateurs des locataires compromis, exploité WMI et SSH Tunneling & répliques de domaine.

Lire : Le malware Dolphin du groupe A37 utilisé pour voler des données et cibler un journal sud-coréen