Было замечено, что субъект угрозы, известный как Muddled Libra, активно нацеливается на приложения "Программное обеспечение как услуга" (SaaS) и среды облачных провайдеров (CSP) в попытке отфильтровать конфиденциальные данные.
"Организации часто хранят различные данные в приложениях SaaS и используют сервисы от CSP", - говорится в отчете 42-го подразделения Palo Alto Networks, опубликованном на прошлой неделе.
"Субъекты угроз начали пытаться использовать часть этих данных для содействия развитию атаки и для вымогательства при попытке монетизировать свою работу".
Muddled Libra, также известная как Starfraud, UNC3944, Scatter Swine и Scatter Spider, является печально известной группой киберпреступников, которая использовала сложные методы социальной инженерии для получения первоначального доступа к целевым сетям.
"Разрозненные участники Spider-угроз исторически избегали обнаружения в целевых сетях, используя методы "живя за пределами земли" и приложения, включенные в список разрешенных, для навигации по сетям жертв, а также часто изменяя свои TTP'ы", - заявило правительство США в консультативном заключении в конце прошлого года.
Злоумышленники также имеют опыт монетизации доступа к сетям жертв различными способами, включая вымогательство с помощью программ-вымогателей и кражу данных.
Подразделение 42 ранее сообщало The Hacker News, что прозвище "Muddled Libra" происходит от "запутанного ландшафта", связанного с фишинговым набором 0ktapus, который использовался другими участниками угроз для организации атак с целью сбора учетных данных.
Ключевым аспектом тактической эволюции субъекта угрозы является использование методов разведки для выявления административных пользователей, на которых можно нацелиться, выдавая себя за сотрудников службы поддержки, используя телефонные звонки для получения их паролей.
Этап разведки также распространяется на Muddled Libra, которая проводит обширные исследования для поиска информации о приложениях и поставщиках облачных услуг, используемых целевыми организациями.
"Кросс-клиентские олицетворяющие атаки Okta, произошедшие с конца июля по начало августа 2023 года, когда Muddled Libra обошла ограничения IAM, показывают, как группа использует Okta для доступа к приложениям SaaS и различным CSP-средам организации", - объяснила исследователь безопасности Маргарет Циммерманн.
Информация, полученная на этом этапе, служит трамплином для дальнейшего продвижения, злоупотребления учетными данными администратора для доступа к порталам единого входа (SSO) для получения быстрого доступа к приложениям SaaS и облачной инфраструктуре.
В случае, если служба единого входа не интегрирована в CSP цели, Muddled Libra предпринимает широкомасштабные действия по обнаружению учетных данных CSP, которые, вероятно, хранятся в незащищенных местах, для достижения своих целей.
Данные, хранящиеся в приложениях SaaS, также используются для сбора подробной информации о зараженной среде, сбора как можно большего количества учетных данных для расширения масштабов взлома за счет повышения привилегий и бокового перемещения.
"Большая часть кампаний Muddled Libra связана со сбором разведданных и данных", - сказал Циммерманн.
"Затем злоумышленники используют это для создания новых векторов горизонтального перемещения в среде. Организации хранят различные данные в своих уникальных средах CSP, что делает эти централизованные хранилища главной целью для Muddled Libra".
Эти действия специально выделяют Amazon Web Services (AWS) и Microsoft Azure, нацеливаясь на такие сервисы, как AWS IAM, Amazon Simple Storage Service (S3), AWS Secrets Manager, ключи доступа к учетной записи хранилища Azure, хранилище больших двоичных объектов Azure и файлы Azure для извлечения соответствующих данных.
Передача данных внешнему объекту достигается за счет злоупотребления законными сервисами и функциями CSP. Сюда входят такие инструменты, как AWS DataSync, AWS Transfer и технология под названием snapshot, последняя из которых позволяет перемещать данные из среды Azure путем размещения украденных данных на виртуальной машине.
Тактический сдвиг Muddled Libra требует от организаций обеспечить безопасность своих порталов идентификации надежными средствами вторичной аутентификации, такими как аппаратные токены или биометрия.
"Расширяя свою тактику, чтобы включить приложения SaaS и облачные среды, эволюция методологии Muddled Libra демонстрирует многомерность кибератак в современном ландшафте угроз", - заключил Циммерманн. "Использование облачных сред для сбора больших объемов информации и быстрой ее фильтрации создает новые проблемы для защитников".
"Организации часто хранят различные данные в приложениях SaaS и используют сервисы от CSP", - говорится в отчете 42-го подразделения Palo Alto Networks, опубликованном на прошлой неделе.
"Субъекты угроз начали пытаться использовать часть этих данных для содействия развитию атаки и для вымогательства при попытке монетизировать свою работу".
Muddled Libra, также известная как Starfraud, UNC3944, Scatter Swine и Scatter Spider, является печально известной группой киберпреступников, которая использовала сложные методы социальной инженерии для получения первоначального доступа к целевым сетям.
"Разрозненные участники Spider-угроз исторически избегали обнаружения в целевых сетях, используя методы "живя за пределами земли" и приложения, включенные в список разрешенных, для навигации по сетям жертв, а также часто изменяя свои TTP'ы", - заявило правительство США в консультативном заключении в конце прошлого года.
Злоумышленники также имеют опыт монетизации доступа к сетям жертв различными способами, включая вымогательство с помощью программ-вымогателей и кражу данных.
Подразделение 42 ранее сообщало The Hacker News, что прозвище "Muddled Libra" происходит от "запутанного ландшафта", связанного с фишинговым набором 0ktapus, который использовался другими участниками угроз для организации атак с целью сбора учетных данных.
Ключевым аспектом тактической эволюции субъекта угрозы является использование методов разведки для выявления административных пользователей, на которых можно нацелиться, выдавая себя за сотрудников службы поддержки, используя телефонные звонки для получения их паролей.
Этап разведки также распространяется на Muddled Libra, которая проводит обширные исследования для поиска информации о приложениях и поставщиках облачных услуг, используемых целевыми организациями.
"Кросс-клиентские олицетворяющие атаки Okta, произошедшие с конца июля по начало августа 2023 года, когда Muddled Libra обошла ограничения IAM, показывают, как группа использует Okta для доступа к приложениям SaaS и различным CSP-средам организации", - объяснила исследователь безопасности Маргарет Циммерманн.
Информация, полученная на этом этапе, служит трамплином для дальнейшего продвижения, злоупотребления учетными данными администратора для доступа к порталам единого входа (SSO) для получения быстрого доступа к приложениям SaaS и облачной инфраструктуре.
В случае, если служба единого входа не интегрирована в CSP цели, Muddled Libra предпринимает широкомасштабные действия по обнаружению учетных данных CSP, которые, вероятно, хранятся в незащищенных местах, для достижения своих целей.
Данные, хранящиеся в приложениях SaaS, также используются для сбора подробной информации о зараженной среде, сбора как можно большего количества учетных данных для расширения масштабов взлома за счет повышения привилегий и бокового перемещения.
"Большая часть кампаний Muddled Libra связана со сбором разведданных и данных", - сказал Циммерманн.
"Затем злоумышленники используют это для создания новых векторов горизонтального перемещения в среде. Организации хранят различные данные в своих уникальных средах CSP, что делает эти централизованные хранилища главной целью для Muddled Libra".
Эти действия специально выделяют Amazon Web Services (AWS) и Microsoft Azure, нацеливаясь на такие сервисы, как AWS IAM, Amazon Simple Storage Service (S3), AWS Secrets Manager, ключи доступа к учетной записи хранилища Azure, хранилище больших двоичных объектов Azure и файлы Azure для извлечения соответствующих данных.
Передача данных внешнему объекту достигается за счет злоупотребления законными сервисами и функциями CSP. Сюда входят такие инструменты, как AWS DataSync, AWS Transfer и технология под названием snapshot, последняя из которых позволяет перемещать данные из среды Azure путем размещения украденных данных на виртуальной машине.
Тактический сдвиг Muddled Libra требует от организаций обеспечить безопасность своих порталов идентификации надежными средствами вторичной аутентификации, такими как аппаратные токены или биометрия.
"Расширяя свою тактику, чтобы включить приложения SaaS и облачные среды, эволюция методологии Muddled Libra демонстрирует многомерность кибератак в современном ландшафте угроз", - заключил Циммерманн. "Использование облачных сред для сбора больших объемов информации и быстрой ее фильтрации создает новые проблемы для защитников".
