上官雨寶
九月份,曾引起廣泛關注的MGM網絡襲擊背后的犯罪團伙再度浮出水面,此次他們發起的勒索軟件攻擊復雜度更高。在此次事件中,僅僅一小時,攻擊者便從第三方服務環境侵入并轉移到了目標組織的內部網絡。
ReliaQuest在11月22日發表的報告中指出,Scattered Spider——ALPHV/Black Cat勒索軟件的下屬機構——此次行動彰顯了其作為大型企業中的強敵之實力。這一團伙靈活地利用云服務供應商的資源針對企業展開攻擊。
該報告揭露,該團伙此次的作案策略與之前攻陷MGM網絡的手段相似:他們利用盜取員工的Okta單點登錄代理憑證進入了第三方云環境,并借此侵入企業的內部網絡。
報告中提到:“調查初期并不清楚首次入侵是如何發生的,然而幾周后,客戶反饋稱入侵是由于社會工程學攻擊,攻擊者重置了相關用戶的憑證。”報告繼續指出:“這類社會工程學策略與Scattered Spider歷來的作案手段、技術及程序(TTPs)極為吻合,這些手段旨在竊取目標賬戶的有效憑證。”
具體來說,攻擊者采用了一種名為社會工程學多因素認證(MFA)疲勞攻擊的手段,短短兩分鐘內連續嘗試四次MFA挑戰。在最后一次嘗試中成功突破,來自佛羅里達州IP地址99.25.84[.]9的“新設備登錄”被捕捉到,攻擊者利用此地址重置了合法Okta用戶的憑證,進而進入云服務供應商的系統。
接著,攻擊者迅速轉向企業的本地環境,在這里他們通過IT管理員的Okta憑證成功登錄Citrix Workspace,并再次面對MFA的挑戰。認證請求被轉發到攻擊者新注冊、掌控下的設備,使其得以步入工作區,并在客戶的基礎設施中展開更多惡意行為。
這些行動包括劫持Citrix會話和提升權限,攻擊者創建了一個具有高權限的虛假安全架構師用戶,從而在Azure、SharePoint以及其他關鍵系統中暢行無阻,研究人員如是表示。
Scattered Spider通過一系列行為——包括對員工進行社會工程學操控、跨租戶的身份即服務(IDaaS)冒充、文件遍歷、濫用企業特定應用程序以及部署持久性工具——實現了對目標網絡廣泛的加密和數據泄露。
Scattered Spider成了不容小覷的對手
這一次的事件突顯了Scattered Spider團伙之規模與實力,他們在極短的時間內就能在不同行業和地域的被侵環境中,展現其利用資源的復雜手段。此外,研究人員警告,其他網絡威脅參與者可能會效仿他們的策略,發起類似的侵襲。
報告強調:“Scattered Spider以驚人的策略性和精準度兵分多路,針對特定應用程序發起攻擊,充分利用對內部IT系統的了解快速橫向移動。”“隨著其他網絡威脅行為者技巧日益精進,借鑒成功典型,他們很可能利用類似的TTPs發起攻擊。”
事實上,若MGM的遭遇為跡象,Scattered Spider的攻擊潛力巨大,足以對企業網絡安全構成災難性影響,應受到相應的高度重視。此團伙曾令全球逾30家酒店和賭場的系統在超過10天時間中癱瘓,這不僅導致了除支付1500萬美元的贖金外,還造成數千萬美元的經濟損失。
盡管執法部門如FBI對這一威脅組織已有充分認知,并且已搜集了海量數據,但迄今為止尚未能有效遏制其行動——在安全界,這仍是一大爭議話題。
企業如何防范重大網絡威脅
ReliaQuest建議企業應采取一系列措施以防范這一機敏的威脅團伙,因企業自身的防御技巧至關重要。
其中一種方法就是實行“最小權限原則”,尤其是在Okta超級管理員憑證被濫用的情況下,研究人員如此提議。企業應嚴格限制超級管理員的角色,以防止可能引發設置變更之類的行為,如注冊外部身份提供者或取消強認證要求。
報告建議:“承擔該角色的用戶應采用對MFA繞過攻擊具有明顯抵抗力的認證方式。”對于超級管理員賬戶的新登陸情形或MFA認證因素注冊,應伴有通知相應人員。同樣的建議也適用于內部IT文檔的訪問——許多組織在這方面并沒有適當的訪問限制措施。
鑒于Scattered Spider多次利用社會工程學策略操縱員工進行初始侵入云服務,研究人員還建議應嚴格執行驗證最終用戶身份的相關政策,尤其對于涉及憑證重置或MFA操作的手續。包含實施挑戰-響應流程或在任何操作之前確保用戶身份的確認。
綜上所述,針對像Scattered Spider這樣的組織,企業防御者應將增強安全議程、定期評估和隨時對新興威脅保持警惕作為優先事項,研究人員這樣總結。
商密君
X0_0X
ManageEngine卓豪
GoUpSec
Andrew
007bug
安全俠
Anna艷娜
安全牛
FreeBuf
虹科網絡安全
