Eine hartnäckige Eindringlingskampagne hat es seit Juni 2022 auf Telekommunikations- und Business Process Outsourcing (BPO)-Unternehmen abgesehen.
„Das Ziel dieser Kampagne scheint darin zu bestehen, sich Zugang zu den Netzwerken von Mobilfunkanbietern zu verschaffen und, wie zwei Untersuchungen gezeigt haben, SIM-Swapping-Aktivitäten durchzuführen“, so CrowdStrike-Forscher Tim Parisi in einer letzte Woche veröffentlichten Analyse.
Die finanziell motivierten Angriffe werden von dem Cybersecurity-Unternehmen einem Akteur zugeschrieben, der als Scattered Spider bekannt ist.
Der erste Zugriff auf die Zielumgebung soll über eine Vielzahl von Methoden erfolgen, die von Social Engineering über Telefonanrufe und über Telegram verschickte Nachrichten reichen, um sich als IT-Mitarbeiter auszugeben.
Diese Technik wird eingesetzt, um die Opfer auf eine Website zum Sammeln von Anmeldeinformationen zu leiten oder sie zur Installation kommerzieller Fernüberwachungs- und -verwaltungs-Tools (RMM) wie Zoho Assist und Getscreen.me zu bewegen.
Sollten die Zielkonten durch eine Zwei-Faktor-Authentifizierung (2FA) gesichert sein, hat der Bedrohungsakteur das Opfer entweder davon überzeugt, das Einmalpasswort weiterzugeben, oder er hat eine Technik namens Prompt Bombing angewendet, die bei den jüngsten Angriffen auf Cisco und Uber zum Einsatz kam.
Bei einer alternativen Infektionskette, die von CrowdStrike beobachtet wurde, wurden die gestohlenen Anmeldedaten eines Benutzers, die zuvor auf unbekannte Weise erlangt wurden, vom Angreifer verwendet, um sich beim Azure-Mandanten des Unternehmens zu authentifizieren.
Ein weiterer Fall betraf die Ausnutzung eines kritischen Fehlers in der Remotecodeausführung in der Zugangsverwaltungslösung ForgeRock OpenAM (CVE-2021-35464), der im vergangenen Jahr aktiv ausgenutzt wurde.
Bei vielen dieser Angriffe verschaffte sich Scattered Spider Zugang zur MFA-Konsole (Multi-Factor-Authentication) des kompromittierten Unternehmens, um ihre eigenen Geräte für den dauerhaften Fernzugriff über legitime Fernzugriffstools zu registrieren, damit keine roten Fahnen ausgelöst werden.
Auf die ersten Schritte des Zugriffs und der Persistenz folgen die Erkundung von Windows-, Linux-, Google Workspace-, Azure Active Directory-, Microsoft 365- und AWS-Umgebungen sowie die Durchführung von Seitwärtsbewegungen, wobei in einigen Fällen auch zusätzliche Tools heruntergeladen werden, um VPN- und MFA-Anmeldedaten zu exfiltrieren.
„Diese Kampagnen sind extrem hartnäckig und dreist“, so Parisi. „Sobald der Angreifer eingedämmt oder der Betrieb gestört ist, gehen sie sofort dazu über, andere Organisationen im Telekommunikations- und BPO-Sektor ins Visier zu nehmen.“
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com