13SEC NEWS

Scattered Spider reverte mitigações de defesa para persistência de rede

Redacao 2 years ago 2 min read
Scattered Spider reverte mitigações de defesa para persistência de rede
O setor de telecomunicações tem sofrido ultimamente com os cibercriminosos. A Crowdstrike analisou uma campanha de intrusão extremamente persistente contra empresas de telecomunicações e BPO. Além disso, os agentes de ameaças são realmente sorrateiros nesta campanha.
Compartilhe

Mergulhando nos detalhes

Os ataques começaram em junho e têm múltiplos vetores de acesso inicial.

  • O objetivo final do grupo cibercriminoso é obter acesso a redes de operadoras de celular e realizar a troca de SIM.
  • As técnicas dos hackers para troca de SIM incluem engenharia social por meio de mensagens de texto e chamadas para se passar por pessoal de TI.
  • A atividade induz as vítimas a um local de coleta de credenciais ou direciona para a execução de ferramentas RMM comerciais.

Quem está por trás do ataque

Essa campanha motivada financeiramente foi vagamente vinculada ao grupo Scattered Spider, que foi observado mantendo a persistência, revertendo a mitigação da defesa, evitando a detecção e movendo-se para outros alvos assim que as operações corporativas são interrompidas.

Por que isso importa

  • Depois de obter acesso ao sistema, os atores do Scattered Spider adicionam seus próprios dispositivos à lista de dispositivos MFA confiáveis , aproveitando a conta de usuário comprometida.
  • Os agentes de ameaças usam Anydesk, Teamviewer, ScreenConnect e outras ferramentas RMM encontradas geralmente em redes corporativas. Isso garante que a atividade maliciosa não gere alertas no software de segurança.
  • Em todos os ataques, o grupo usou vários provedores de ISP e VPN para obter acesso aos ambientes do Google Workspace, infraestrutura local e AzureAD.

Quando a violação é detectada

  • O adversário mantém a persistência em uma rede violada e se torna mais ativo na configuração de mecanismos de persistência adicionais após a detecção.
  • Eles, em vários casos, reverteram algumas mitigações de defesa ao reativar contas anteriormente desativadas pelas vítimas.

A linha de fundo

A Crowdstrike recomenda a implementação de desafios de MFA para autenticação de contas privilegiadas, detecção de dispositivos e credenciais vulneráveis ​​e comprometidos por meio de regras e consultas personalizadas e aplicação de alertas de inteligência de ameaças em tempo real para identificação de credenciais comprometidas. O agente da ameaça é bastante sofisticado e usa uma infinidade de ferramentas e técnicas para evitar a detecção e manter a persistência.

Tags:

+Mais

Ford rejeita alegações de violação e diz que dados de clientes não foram afetados
2 min read

Ford rejeita alegações de violação e diz que dados de clientes não foram afetados

9 hours ago Redacao
EUA acusam cinco pessoas ligadas à gangue de crimes cibernéticos Scattered Spider
3 min read

EUA acusam cinco pessoas ligadas à gangue de crimes cibernéticos Scattered Spider

9 hours ago Redacao
Mais de 145.000 sistemas de controle industrial em 175 países foram encontrados expostos online
5 min read

Mais de 145.000 sistemas de controle industrial em 175 países foram encontrados expostos online

9 hours ago Redacao

veja também

Ford rejeita alegações de violação e diz que dados de clientes não foram afetados
2 min read

Ford rejeita alegações de violação e diz que dados de clientes não foram afetados

9 hours ago Redacao
EUA acusam cinco pessoas ligadas à gangue de crimes cibernéticos Scattered Spider
3 min read

EUA acusam cinco pessoas ligadas à gangue de crimes cibernéticos Scattered Spider

9 hours ago Redacao
Mais de 145.000 sistemas de controle industrial em 175 países foram encontrados expostos online
5 min read

Mais de 145.000 sistemas de controle industrial em 175 países foram encontrados expostos online

9 hours ago Redacao
Violação de dados da Ford, hackers supostamente vazaram 44 mil dados de clientes
2 min read

Violação de dados da Ford, hackers supostamente vazaram 44 mil dados de clientes

2 days ago Redacao 2