Attore di minaccia prende di mira i fornitori di servizi telecom e altera i metodi difensivi quando viene rilevato

In un attacco recente, un attore di minaccia ha dirottato i fornitori di servizi telecom e le aziende di outsourcing dei processi aziendali, alterando diligentemente le misure di mitigazione difensiva che sono state applicate quando gli attacchi sono stati rilevati.

Gli attacchi sono stati scoperti da CrowdStrike, che menziona che questi attacchi sono in corso dal giugno 2022 e continuano ancora, e i ricercatori hanno già identificato cinque diverse intrusioni. Questi attacchi sembrano essere motivati dal denaro.

I ricercatori della società CrowdStrike che hanno tracciato questi attacchi li hanno allineati al poco affidabile Scattered Spider, che mostra persistenza nel mantenere l’accesso, alterare le misure di mitigazione difensiva, evitare il rilevamento e rivolgersi a diversi obiettivi validi se ostacolato.

Bene, la società di sicurezza afferma che l’obiettivo principale delle campagne è quello di infiltrarsi nei sistemi di rete telecom, ottenere accesso alle informazioni degli abbonati e condurre altre attività come lo scambio di SIM.

Gli hacker ottengono accesso iniziale alle telecomunicazioni aziendali applicando numerose tecniche di ingegneria sociale, che includono l’impostazione del personale telecom, utilizzando mezzi come SMS o un’app di messaggistica istantanea come Telegram per reindirizzare gli obiettivi a siti web di phishing personalizzati che hanno il logo dell’azienda.

Bene, se l’azienda utilizza MFA (autenticazione a più fattori), gli attaccanti minacciosi quindi distribuiscono notifiche push di affaticamento MFA, che è essenzialmente quando un hacker esegue script che tentano di accedere con le credenziali rubate, ancora e ancora, facendo sembrare un flusso infinito di richieste push MFA al telefono del proprietario. Inoltre, applicando altre tattiche di ingegneria sociale.

Leggi: Cos’è un account burner? È utile?

In aggiunta a questo, gli hacker, in un caso, hanno sfruttato il CVE-2021-35464 per eseguire codici e sollevare i loro privilegi utilizzando il caso AWS approfittando del caso AWS per assumere o elevare i privilegi all’utente Apache tomcat, l’attore di minaccia quindi richiederà e assumerà il permesso di un ruolo di istanza utilizzando un token AWS infetto, menziona la società di sicurezza.

Inoltre, una volta che gli hacker ottengono accesso al sistema, cercano di aggiungere i loro dispositivi all’elenco delle liste MFA fidate utilizzando l’account utente compromesso.

CrowdStrike ha anche scoperto che gli hacker stanno utilizzando i seguenti meccanismi di monitoraggio remoto e strumenti di gestione per la loro campagna,

BeAnywhere  
Domotz  
DWservice  
Fixme.it  
AnyDesk  
Fleetdesk.io  
Itarian Endpoint Manager.  
Level.io  
ManageEngine   
N-Able  
Rport  
ScreenConnect  
Teamviewer  
TrendMicro Basecamp  
ZeroTier  
Pulseway  
Rsocx  
Logmein  
SSH RevShell e tunneling RDP tramite SSH  
Sorillus

La maggior parte di questi sono software fidati che le aziende utilizzano e sono improbabili di dare avvisi sui software di sicurezza. Inoltre, le intrusioni notate dalle società di sicurezza menzionano che gli hacker sono diventati aggressivi nei loro tentativi di mantenere l’accesso alla rete violata anche dopo essere stati rilevati.

Inoltre, nelle altre due osservazioni, gli attori di minaccia sembrano essere diventati più attivi e hanno distribuito metodi di persistenza come l’accesso VPN (rete privata virtuale) o strumenti RMM se queste mitigazioni venivano applicate lentamente.

In alcune delle altre istanze, l’avversario è tornato ad alcuni dei metodi di severità riattivando gli account che erano stati precedentemente disabilitati dall’organizzazione vittima.

CrowdStrike ha ulteriormente aggiunto che gli attori di minaccia hanno utilizzato vari VPN e ISP per accedere all’ambiente Google Workspace dell’organizzazione vittima e gli avversari hanno ottenuto vari tipi di informazioni di spionaggio, scaricato elenchi di utenti dai locatari compromessi, sfruttato WMI e tunneling SSH e repliche di dominio.

Leggi: Il malware Dolphin del gruppo A37 utilizzato per rubare dati e prendere di mira una carta sudcoreana