Rapora göre, “Soruşturma sırasında ilk erişim vektörü belirsizdi, ancak haftalar sonra müşteri, izinsiz girişin, kullanıcının kimlik bilgilerinin saldırganlar tarafından sıfırlandığı bir sosyal mühendislik saldırısına atfedildiğini bildirdi
Rapora göre “Bu role atanan kullanıcılar, MFA bypass saldırılarına karşı önemli direnç gösteren bir MFA biçimi kullanmalıdır
Önemli Bir Siber Tehdide Karşı Kurumsal SavunmaReliaQuest, şirketlerin bu çevik grup tarafından tehlikeye atılmalarını önlemek ve buna karşı kendilerini savunmak için kendi başlarına kalabilecekleri bir dizi eylem önerdi
Scattered Spider sonuçta, yardım masası çalışanlarının sosyal mühendisliği, hizmet olarak kimlik (IDaaS) kiracılar arası kimliğe bürünme, dosya numaralandırma ve keşfetme, belirli kurumsal uygulamaların kötüye kullanılması ve kalıcılık araçlarının kullanımı dahil olmak üzere TTP’lerin bir kombinasyonunu kullandı
Rapora göre “Scattered Spider, son derece verimli yanal hareket için dahili BT belgelerine erişimi kullanarak olağanüstü bir hassasiyetle uygulamaları döndürüyor ve hedefliyor , araştırmacılar ortaya çıkardı ”
Gerçekten de, MGM saldırısı herhangi bir gösterge olarak kabul edilirse, Scattered Spider’ın saldırıları kurumsal ağda yıkıcı hasara neden olabilir ve son derece ciddiye alınmalıdır
Gösterilen taktikler, MGM’nin ağını çökerten taktiklere benziyordu; grup, bir yardım masası çalışanından çalınan bir Okta çoklu oturum açma aracısının kimlik bilgilerini kullanarak üçüncü taraf bir bulut ortamına giriyor ve oradan kurumsal ağa geçiyor ” Bu durumda, yeni oturum açma işlemlerine veya süper yönetici hesapları için bir MFA faktörünün kaydına bir bildirim eşlik etmelidir
ALPHV/Black Cat fidye yazılımı iştiraki olan Scattered Spider’ın saldırısı, grubun, bulut hizmet sağlayıcıları aracılığıyla işletmeyi hedef alma becerisine sahip büyük şirketler için zorlu bir rakip olarak konumunu güçlendirdi 25 Harici bir kimlik sağlayıcıyı kaydetme veya güçlü kimlik doğrulama gereksinimlerini devre dışı bırakma gibi çeşitli ayarları değiştirme potansiyeli sağladığından, kuruluşlar süper yönetici rolünü kısıtlamalıdır ”
Yorgunluk Saldırılarında MFA’yı Manipüle EtmekSaldırganlar özellikle sosyal mühendislik ürünü bir MFA yorulma saldırısı kullandı; bu saldırıda geçerli hesap kimlik bilgilerini kullanarak iki dakika içinde dört MFA sorgulaması gerçekleştirdiler Sonuncusu, Florida IP adresi 99
Eylül ayındaki yüksek profilli MGM siber saldırısının arkasındaki grup, aktörün yalnızca bir saat içinde üçüncü taraf hizmet ortamından hedef kuruluşun şirket içi ağına geçtiği başka bir karmaşık fidye yazılımı saldırısında yeniden ortaya çıktı
siber-1
Araştırmacılar, genel olarak Scattered Spider gibi grupların, kurumsal savunucuların güvenlik protokollerini güçlendirerek, düzenli değerlendirmeler yaparak ve ortaya çıkan tehditler hakkında bilgi sahibi olarak sürekli tetikte olmaya öncelik vermelerini gerektirdiği sonucuna vardı ]Bu, bir bulut hizmet sağlayıcısının ortamına erişmek amacıyla meşru bir Okta kullanıcısının kimlik bilgilerini sıfırlamak için kullanılan 9
Dahası, FBI gibi kolluk kuvvetleri, tehdit grubunun çok iyi farkında olmasına ve faaliyetleri hakkında çok miktarda veri biriktirmesine rağmen, şu ana kadar grubun faaliyetlerini kesintiye uğratamadılar; bu da güvenlik camiasında bir tartışma konusu olmaya devam ediyor hedeflenen ağdan yaygın şifreleme ve veri sızması elde edin
Dağınık Örümcek Zorlu Bir Düşmana DönüşüyorBu olay, kısa sürede çeşitli sektör ve bölgeleri kapsayan riskli ortamlardaki kaynakları kötüye kullanma konusunda gelişmişlik sergileyen Scattered Spider’ın ölçeğini ve operasyonel yeteneğini ortaya koydu ” “Diğer tehdit aktörleri daha karmaşık hale geldikçe ve başarılı modellerden öğrendikçe benzer TTP’lerden yararlanabilecekler
Araştırmacılar, bu etkinliklerin Citrix oturumlarının ele geçirilmesini ve sahte güvenlik mimarı kullanıcısı şeklinde yüksek ayrıcalıklı bir kullanıcı yaratarak saldırganların Azure, SharePoint ve ortamdaki diğer kritik varlıklar arasında istedikleri gibi hareket etmelerini sağlayarak ayrıcalık yükseltmeyi içerdiğini söyledi
Saldırganlar daha sonra hızlı bir şekilde şirket içi kurumsal ortama geçtiler; burada BT yöneticisinin Okta kimlik bilgileri aracılığıyla Citrix Workspace’te kimlik doğrulaması yaptılar ve tekrar MFA’yı tamamlamaları istendi ” “Bu sosyal mühendislik taktiği, Scattered Spider’ın bir hedeften geçerli hesap kimlik bilgilerini elde etmek için kullanılan önceki taktikleri, teknikleri ve prosedürleriyle (TTP’ler) güçlü bir şekilde uyum sağlıyor Bunlar arasında, bir sorgulama-yanıt sürecinin uygulanması veya herhangi bir yardım masası eylemi öncesinde kullanıcı kimlik onayının zorunlu kılınması yer alır [
Scattered Spider’ın buluta ilk erişim için sıklıkla bir yardım masası çalışanının sosyal mühendislik manipülasyonunu kullandığı göz önüne alındığında, araştırmacılar ayrıca yardım masasının özellikle sıfırlamayı içeren prosedürler için son kullanıcıların kimliklerinin doğrulanmasıyla ilgili katı politikalara uymasını tavsiye ediyor rapor ReliaQuest tarafından 22 Kasım’da yayınlandı Araştırmacılar, bu önerinin aynı zamanda birçok kuruluşun erişimi yeterince sınırlamadığı dahili BT belgelerine erişim için de geçerli olması gerektiğini söyledi kimlik bilgileri veya MFA faktörleri
Araştırmacılar, bunlardan birinin, özellikle Okta süper yönetici kimlik bilgilerinin kötüye kullanılması göz önüne alındığında, “en az ayrıcalık ilkesine” bağlı kalmak olduğunu söyledi