Scattered Spider reverte mitigações de defesa para persistência de rede

O setor de telecomunicações tem sofrido ultimamente com os cibercriminosos. A Crowdstrike analisou uma campanha de intrusão extremamente persistente contra empresas de telecomunicações e BPO. Além disso, os agentes de ameaças são realmente sorrateiros nesta campanha.

Compartilhe

Mergulhando nos detalhes

Os ataques começaram em junho e têm múltiplos vetores de acesso inicial.

O objetivo final do grupo cibercriminoso é obter acesso a redes de operadoras de celular e realizar a troca de SIM.
As técnicas dos hackers para troca de SIM incluem engenharia social por meio de mensagens de texto e chamadas para se passar por pessoal de TI.
A atividade induz as vítimas a um local de coleta de credenciais ou direciona para a execução de ferramentas RMM comerciais.

Quem está por trás do ataque

Essa campanha motivada financeiramente foi vagamente vinculada ao grupo Scattered Spider, que foi observado mantendo a persistência, revertendo a mitigação da defesa, evitando a detecção e movendo-se para outros alvos assim que as operações corporativas são interrompidas.

Por que isso importa

Depois de obter acesso ao sistema, os atores do Scattered Spider adicionam seus próprios dispositivos à lista de dispositivos MFA confiáveis , aproveitando a conta de usuário comprometida.
Os agentes de ameaças usam Anydesk, Teamviewer, ScreenConnect e outras ferramentas RMM encontradas geralmente em redes corporativas. Isso garante que a atividade maliciosa não gere alertas no software de segurança.
Em todos os ataques, o grupo usou vários provedores de ISP e VPN para obter acesso aos ambientes do Google Workspace, infraestrutura local e AzureAD.

Quando a violação é detectada

O adversário mantém a persistência em uma rede violada e se torna mais ativo na configuração de mecanismos de persistência adicionais após a detecção.
Eles, em vários casos, reverteram algumas mitigações de defesa ao reativar contas anteriormente desativadas pelas vítimas.

A linha de fundo

A Crowdstrike recomenda a implementação de desafios de MFA para autenticação de contas privilegiadas, detecção de dispositivos e credenciais vulneráveis e comprometidos por meio de regras e consultas personalizadas e aplicação de alertas de inteligência de ameaças em tempo real para identificação de credenciais comprometidas. O agente da ameaça é bastante sofisticado e usa uma infinidade de ferramentas e técnicas para evitar a detecção e manter a persistência.