Ator de Ameaça Alvo de Provedores de Serviços de Telecomunicações e Altera Métodos Defensivos Quando Detectado

Em um ataque recente, um ator de ameaça sequestrou provedores de serviços de telecomunicações e empresas de terceirização de processos de negócios, alterando diligentemente a mitigação defensiva que foi aplicada quando os ataques foram detectados.

Os ataques foram descobertos pela CrowdStrike, que menciona que esses ataques estão ocorrendo desde junho de 2022 e ainda estão em andamento, e os pesquisadores já identificaram cinco intrusões diferentes. Esses ataques parecem ser motivados por dinheiro.

Pesquisadores da empresa CrowdStrike que rastrearam esses ataques os alinharam ao Scattered Spider de baixa confiança, que demonstra persistência em manter o acesso, alterar a mitigação defensiva, evitar detecção e recorrer a diferentes alvos válidos se for interrompido.

Bem, a empresa de segurança diz que o principal objetivo das campanhas é invadir sistemas de rede de telecomunicações, obter acesso às informações dos assinantes e realizar outras atividades, como troca de SIMs.

Os hackers obtêm acesso inicial à telecomunicação corporativa aplicando numerosas técnicas de engenharia social, que incluem se passar por funcionários de telecomunicações, usando meios como SMS ou um aplicativo de mensagens instantâneas como Telegram para redirecionar alvos para sites de phishing personalizados que têm o logotipo da empresa.

Bem, se a empresa usa MFA (Autenticação de Múltiplos Fatores), os atacantes de ameaças então implantam notificações push de fadiga de MFA, que é essencialmente quando um hacker executa scripts que tentam fazer login com as credenciais roubadas, repetidamente, fazendo parecer um fluxo interminável de solicitações de push de MFA para o telefone do proprietário. Além disso, aplicando outras táticas de engenharia social.

Leia: O que é uma Conta Burner? É Útil?

Além disso, os hackers, em um caso, exploraram o CVE-2021-35464 para executar códigos e elevar seus privilégios usando o caso AWS, aproveitando-se do caso AWS para assumir ou elevar privilégios ao usuário Apache tomcat, o ator de ameaça então solicitará e assumirá a permissão de um papel de instância usando um token AWS infectado, menciona a empresa de segurança.

Além disso, uma vez que os hackers obtêm acesso ao sistema, eles tentam adicionar seus dispositivos à lista de listas de MFA confiáveis usando a conta de usuário comprometida.

A CrowdStrike também descobriu que os hackers estão usando os seguintes mecanismos de monitoramento remoto e ferramentas de gerenciamento para sua campanha,

BeAnywhere  
Domotz  
DWservice  
Fixme.it  
AnyDesk  
Fleetdesk.io  
Itarian Endpoint Manager.  
Level.io  
ManageEngine   
N-Able  
Rport  
ScreenConnect  
Teamviewer  
TrendMicro Basecamp  
ZeroTier  
Pulseway  
Rsocx  
Logmein  
SSH RevShell e Tunelamento RDP via SSH  
Sorillus

A maioria desses são softwares confiáveis que as empresas usam e é improvável que emitam alertas em softwares de segurança. Além disso, as intrusões notadas pelas empresas de segurança mencionam que os hackers se tornaram ferozes em suas tentativas de manter o acesso à rede invadida, mesmo após serem detectados.

Além disso, em outras duas observações, os atores de ameaça aparentemente se tornaram mais ativos e implantaram métodos de persistência, como acesso VPN (Rede Privada Virtual) ou ferramentas RMM, se essas mitig ações fossem aplicadas lentamente.

Em alguns dos outros casos, o adversário voltou a alguns dos métodos de severidade reativando as contas que foram anteriormente desativadas pela organização vítima.

A CrowdStrike acrescentou ainda que os atores de ameaça usaram várias VPNs e ISPs para acessar o ambiente Google Workspace da organização vítima e os adversários obtiveram vários tipos de informações de espionagem, baixaram listas de usuários dos locatários comprometidos, exploraram WMI e Tunelamento SSH & replicações de domínio.

Leia: Malware Dolphin do Grupo A37 Usado para Roubar Dados e Alvo de Papel Sul-Coreano