Passer au contenu principal

Mesures d'atténuation intersectorielles : araignées dispersées

|

Conseils pour une défense proactive

Produit par les ISAC des services financiers, des technologies de l'information, de l'alimentation et de l'agriculture, de la santé, de l'aviation, de l'automobile, du commerce de détail et de l'hôtellerie, du système de transport maritime, de l'électricité et du Conseil national des ISAC, avec la contribution des partenaires du secteur privé des ISAC des communications.

Télécharger

Version texte:

Analyse des menaces liées aux araignées dispersées

Introduction

Les membres du Conseil national des ISAC (NCI) estiment avec une grande confiance que le groupe d'acteurs de menace Scattered Spider présente une menace réelle et que sa capacité à exploiter les vulnérabilités humaines par le biais de l'ingénierie sociale fait du groupe un risque important pour les organisations.

Cette analyse détaille l'activité de Scattered Spider sur la base de son savoir-faire observé dans tous les secteurs en mai 2025, en fournissant :

🔹 Contexte sur Scattered Spider afin que les entreprises puissent mieux évaluer leur surface de menace

🔹 Procédures techniques et pratiques culturelles pour contrecarrer les attaques d'araignées dispersées

🔹 Analyse des membres du Centre d'analyse et de partage d'informations (ISAC) et des services de renseignement du FBI et du MITRE ATT&CK correspondant® atténuations

Les mesures recommandées se sont avérées efficaces contre Scattered Spider et d'autres acteurs similaires, selon une évaluation des services de renseignement par des experts. Ces mesures d'atténuation intègrent les exigences de base du FS-ISAC. fondamentaux de la cybersécurité, en fonction des TTP (tactiques, techniques et procédures) de Scattered Spider en fonction des menaces connues.

Cependant, les acteurs de la menace tels que Scattered Spider innovent constamment, les organisations doivent donc faire preuve de diligence dans la surveillance continue de leurs processus et de leurs identités pour rechercher de nouveaux exploits.

Ces résultats ont été produits en collaboration par les comités consultatifs internationaux sur les services financiers, les technologies de l'information, l'alimentation et l'agriculture, la santé, l'aviation, l'automobile, la vente au détail et l'hôtellerie, et le système de transport maritime, ainsi que par le NCI. Ce dernier, composé de 28 organisations, vise à optimiser la circulation de l'information entre les infrastructures critiques du secteur privé et les agences gouvernementales.

Contexte et TTP

Scattered Spider est un groupe de jeunes opérateurs indépendants, basé au Royaume-Uni, aux États-Unis et au Canada, motivé par des raisons financières plutôt qu'idéologiques. Selon les chercheurs, Scattered Spider fait partie d'une communauté de hackers plus vaste, appelée The Community ou The Com, qui s'organise via des plateformes en ligne, notamment Discord et les groupes de discussion Telegram. Scattered Spider utilise des techniques d'ingénierie sociale très efficaces et le vol d'identifiants pour accéder aux réseaux ciblés, puis monétise ses attaques par le vol de données, l'extorsion ou des opérations de rançongiciels affiliés. Le groupe est connu pour ses vastes campagnes de reconnaissance qui lui permettent d'identifier les profils à adopter ou les employés à cibler. Le succès de Scattered Spider repose en grande partie sur sa rapidité et son ciblage adaptable et sans effort.

*****

Barre latérale:

Les acteurs malveillants participent fréquemment aux appels et téléconférences de résolution et de réponse aux incidents, probablement pour identifier comment les équipes de sécurité les traquent et développer proactivement de nouvelles voies d'intrusion pour contrer les défenses des victimes. Cela se fait parfois en créant de nouvelles identités dans l'environnement, souvent renforcées par de faux profils sur les réseaux sociaux. Avis de cybersécurité : Araignée dispersée – un avis conjoint du Federal Bureau of Investigation (FBI) et de la Cybersecurity and Infrastructure Security Agency (CISA)

*****

Actif depuis début 2022, Scattered Spider a initialement été observé ciblant des entités de télécommunications et d'externalisation des processus métier (BPO), probablement comme tremplin pour des opérations d'ingénierie sociale visant à obtenir un accès non autorisé à d'autres cibles et à leurs parties prenantes. Depuis, le groupe a été associé à plus de 100 attaques dans de nombreux secteurs d'activité, mais tend à cibler un seul secteur à la fois. Scattered Spider est connu pour la compromission de Caesars Entertainment et de MGM Resorts en 2023 et pour l'attaque de Twilio en 2022, qui a entraîné une attaque de la chaîne d'approvisionnement ayant impacté l'application de messagerie Signal. Il a ciblé des détaillants américains et britanniques en avril et mai 2025, puis s'est concentré sur le secteur financier, notamment les compagnies d'assurance, et le secteur aéronautique.

  1. Accès initial obtenu via :

    >Attaques d'ingénierie sociale

    >Attaques de fatigue MFA

  2. Capture les privilèges d'administrateur en :

    • Dumping d’informations d’identification
    • Informations d'identification et secrets stockés

 

3. Persistance obtenue par :

>Tâches planifiées

>Services malveillants

>Création d'utilisateur local

>Mécanismes de persistance du cloud

 

4. Évasion défensive rendue possible par :

>Désactivation de AV/EDR

>Modification des GPO Windows

>Désactivation de Defender, de la journalisation ou de la télémétrie

>Suppression des pilotes EDR

5. Mouvement latéral via :

>PsExec

>Communication à distance PowerShell

>WMI

>Connexions VPN ou Citrix légitimes

 

Une tactique courante consiste à persuader les agents du support informatique d'effectuer des réinitialisations de mot de passe en libre-service (SSPR) pour les comptes ciblés. Les techniques de Scattered Spider incluent l'utilisation de messages SMS (Short Message Service) — c'est-à-dire, textos — et le phishing vocal (smishing et vishing) pour capturer les informations d'identification des tableaux de bord d'authentification unique (SSO), Microsoft Office 365/Azure, les VPN et les appareils périphériques.

Le groupe est également connu pour détourner l'authentification multifacteur (MFA) via l'échange de cartes SIM. Il contourne ensuite l'MFA par lassitude des notifications ou convainc les agents du support technique de réinitialiser la méthode MFA des comptes ciblés.

Après avoir compromis le compte d'un utilisateur, les agents de Scattered Spider enregistrent d'autres appareils sous ce compte. Lorsqu'ils obtiennent des privilèges d'administrateur, ils créent des comptes contrôlés par l'attaquant dans l'environnement de la victime. L'attaquant établit ensuite une persistance pour permettre un accès non autorisé à l'environnement de la victime et met en place une redondance afin de contrecarrer les tentatives de suppression de logiciels malveillants ou d'accès.

L'activité de reconnaissance ultérieure comprend la tentative de découverte de plateformes d'entreprise - notamment Windows, Linux, Google Workspace, Microsoft Entra ID (anciennement Azure Active Directory), Microsoft 365, AWS et d'autres outils hébergés dans l'infrastructure cloud - et le déplacement latéral, en téléchargeant les outils appropriés pour exfiltrer les données sensibles.

*****

Barre latérale:

Health-ISAC a reçu des renseignements reliant le botnet Amadey à des attaques Scattered Spider. Le botnet Amadey a été utilisé par des acteurs de ransomware tels que BlackSuit, BlackBasta et Akira pour injecter des programmes malveillants dans les réseaux de leurs victimes. Ce botnet a échappé aux poursuites judiciaires contre les plateformes de malwares en tant que service (MaaS), ce qui lui a permis d'évoluer depuis 2018.

*****

Cette connaissance approfondie de l'infrastructure native de la victime permet à Scattered Spider d'exécuter des activités malveillantes. C'est grâce à cette connaissance approfondie – par exemple, sa capacité à utiliser des techniques de survie – que le groupe peut échapper aux méthodes de détection standard. Le groupe malveillant peut également déployer des logiciels malveillants qui installent des pilotes signés malveillants conçus pour mettre fin aux processus associés aux logiciels de sécurité et supprimer des fichiers.

Scattered Spider utilise des noms de domaine de phishing récemment enregistrés et très convaincants, imitant des portails de connexion légitimes, notamment les pages d'authentification Okta. Ces domaines ont une durée de vie et une disponibilité limitées, ce qui rend leur détection difficile.

Depuis 2023, Scattered Spider a été observé utilisant cinq kits d'hameçonnage distincts, ses stratégies de déploiement ayant évolué pour inclure des fournisseurs DNS dynamiques. De plus, le groupe a intégré le cheval de Troie d'accès à distance (RAT) Spectre à sa chaîne d'attaque pour déployer des logiciels malveillants sur les systèmes compromis afin d'obtenir un accès permanent. Ce logiciel malveillant inclut des mécanismes de désinstallation à distance et de connexion à des serveurs de commande et de contrôle (C2) supplémentaires, ce qui suggère que le groupe pourrait utiliser l'infrastructure C2 pour mener des actions post-exploitation sur les réseaux des victimes.

*****

Barre latérale:

Noms de domaine connus utilisés par Scattered Spider

  • targetsname-sso[.]com
  • targetsname-servicedesk[.]com
  • targetsname-okta[.]com
  • targetsname-cms[.]com
  • targetsname-helpdesk[.]com
  • oktalogin-targetcompany[.]com

Araignée dispersée Conseil en cybersécurité produit conjointement par le FBI, la CISA, la Gendarmerie royale du Canada, le Centre australien de cybersécurité de la Direction des transmissions australienne, la Police fédérale australienne, le Centre canadien pour la cybersécurité et le Centre national de cybersécurité du Royaume-Uni

*****

Recommandations

Les recommandations suivantes se sont avérées efficaces pour les membres de l'ISAC. Nombre d'entre elles sont tirées du FS-ISAC. fondamentaux de la cybersécurité, une approche de défense en profondeur basée sur les risques des besoins de base en matière de cybersécurité applicable aux organisations à tout niveau de maturité cybernétique.

Utiliser un processus de vérification multicanal — Aucune organisation ne devrait s'appuyer sur un canal de communication unique pour les demandes de changement de mot de passe ou de réinitialisation de l'authentification multifacteur (AMF) de ses employés. Certaines entreprises pourraient tirer profit d'une liste prédéfinie de questions auxquelles seul l'employé peut répondre pour initier les réinitialisations de mot de passe et d'authentification multifacteur. De plus, les employés informatiques devraient toujours se sentir habilités à contester les demandes de vérification d'un autre employé.

Des mesures d'action:

  • Le service informatique doit utiliser une vérification multicanal, notamment :
  • Vérification des demandes effectuées par e-mail, SMS ou téléphone avec rappel sur un numéro de téléphone préenregistré et connu
  • Codes PIN statiques sur un badge physique
  • Validation visuelle
  • Utilisez un mot de passe vocal connu uniquement des employés, ou un ensemble de réponses à des questions difficiles à deviner, par exemple : « Quel est le nom de jeune fille de votre mère ? Quelle est votre date de début d'emploi ? Quel est le numéro d'identification de votre ordinateur portable professionnel ? »

Exiger que deux employés approuvent certains types de demandes (telles que les transferts financiers importants) ou les demandes d’employés disposant d’un niveau de privilèges élevé.

  • Contactez le responsable de l'employé lorsque ce dernier demande une réinitialisation des informations d'identification et de l'authentification multifacteur..
  • Favorisez une culture dans laquelle le personnel informatique est censé et habilité à remettre en question toute demande inhabituelle ou très sensible, même de la part des dirigeants, sans crainte de répercussions.

 

Focus sur les tactiques d'ingénierie sociale — Scattered Spider s'appuie sur des techniques d'ingénierie sociale et fait preuve d'une grande créativité dans son utilisation du phishing, du vishing et du smishing. Ce groupe malveillant suscite souvent un sentiment d'urgence dans ses appâts et exploite les peurs, l'empathie et le respect de l'autorité des victimes. Intégrez ces TTP dans vos simulations et testez les réactions des employés.

Des mesures d'action:
  • Mettre en œuvre des formations continues et obligatoires de sensibilisation à la sécurité et des simulations d’hameçonnage avec des leurres courants et actuels.
  • Adaptez la formation au rôle : le service d'assistance informatique, les représentants du service client, le personnel des RH et les cadres supérieurs peuvent avoir besoin d'une formation plus détaillée et spécifique sur les tactiques des acteurs de la menace et les campagnes en cours.
  • Formez les représentants du service client aux procédures d'assistance. Par exemple, insistez sur le fait que leur service d'assistance ne demandera jamais à un employé d'installer un logiciel d'assistance à distance ou de contourner un contrôle de sécurité.
  • Utilisez le principe du moindre privilège afin que les employés, notamment les représentants du service client, exigent une vérification supplémentaire de la part de l'utilisateur final avant d'accorder un accès plus large.

 

Consultez les profils des administrateurs sur les réseaux sociaux, en particulier ceux du cloud. Les profils et publications des administrateurs sur les réseaux sociaux peuvent afficher par inadvertance des informations professionnelles (responsabilités, antécédents professionnels, collègues, routine quotidienne, etc.) que les pirates informatiques utilisent pour optimiser leurs attaques (par exemple, en exploitant les itinéraires de voyage pour établir la crédibilité ou l'urgence d'une campagne d'hameçonnage vocal). Les administrateurs cloud sont des cibles privilégiées. L'obtention de leurs privilèges d'accès permettrait aux pirates d'accéder à des ressources cloud précieuses et de les contrôler, et de causer des dommages considérables. Les entreprises devraient mettre en place des politiques relatives aux réseaux sociaux décrivant les informations exploitées par les pirates et interdisant leur diffusion dans les publications. Vérifiez régulièrement la conformité des réseaux sociaux des administrateurs, en particulier leurs publications cloud, avec la politique relative aux réseaux sociaux.

Des mesures d'action:
  • Élaborer et appliquer des politiques détaillées et spécifiques en matière d’accès aux médias sociaux qui expliquent les types d’informations qu’il est – et ne faut pas – autorisé de publier.
  • Réaliser des audits pour garantir la conformité.
  • Offrir une formation sur les risques liés au partage de données professionnelles sensibles.

 

Évaluer les droits d'accès au service d'assistance - Les droits d'accès au support technique peuvent évoluer au fil du temps, conférant parfois des privilèges à toutes les consoles d'administration, telles que le flux de messagerie, les contrôles de sécurité, etc. L'audit des droits d'accès au support technique garantit l'adéquation avec les besoins opérationnels, tout en empêchant les accès non autorisés susceptibles d'être exploités par des acteurs malveillants comme Scattered Spider. Les systèmes de gestion automatisés améliorent la surveillance.

Des mesures d'action:
  • Mettre en œuvre des systèmes automatisés de surveillance et d’ajustement continus des droits d’accès.
  • Planifiez des examens d’accès réguliers pour garantir l’adéquation avec les fonctions du poste.

Surveiller les machines virtuelles dans les environnements cloud – Mettre en œuvre des outils de surveillance pour alerter sur les activités non autorisées des machines virtuelles (VM), telles que les services suspects, l'utilisation anormale des ressources et les tentatives d'élévation des privilèges, avec des protocoles permettant d'isoler et d'arrêter rapidement les VM suspectes. Cette capacité de réaction rapide est essentielle pour identifier les activités suspectes, prévenir les violations potentielles et atténuer les menaces.

Des mesures d'action:
  • Élaborer une liste d’activités autorisées.
  • Déployez des systèmes de surveillance et d’alerte et recherchez leurs lacunes.
  • Établir des protocoles de réponse rapide pour les activités non autorisées.
  • Éliminez les outils RMM inutiles et intégrez des honeytokens autour de l'utilisation des outils RMM pour la détection précoce et la définition des empreintes digitales.
  • Configurez les navigateurs et les tâches pour supprimer régulièrement les cookies persistants.
  • Réduisez la durée de viabilité d'un cookie Web : Scattered Spider les utilise pour établir un accès persistant et une exfiltration de données.

 

Examiner les contrôles de sécurité de l'infrastructure de bureau virtuel - Assurez-vous que les environnements d’infrastructure de bureau virtuel (VDI) sont sécurisés avec MFA et surveillez en permanence les activités des utilisateurs.

Des mesures d'action:
  • Consultez la liste des utilisateurs VDI pour vous assurer qu’elle est à jour.
  • Appliquer l'authentification multifacteur.
  • N'autorisez pas les appareils personnels à accéder directement à Office 365, à Google Workspace Enterprise, aux VPN d'entreprise, etc.
  • Exigez une MFA résistante au phishing, telle que YubiKeys, Windows Hello Entreprise, etc. Ne faites pas confiance aux utilisateurs pour approuver les demandes MFA ou fournir des codes.
  • Si une organisation dispose d'un VDI permettant l'accès à des tiers, assurez-vous que ces VDI ne peuvent pas accéder aux Secure Shells (SSH) ou aux protocoles de bureau à distance (RDP), ni atteindre des sites Web qui ne sont pas nécessaires à l'utilisateur pour effectuer son travail.
  • Effectuez des audits réguliers et une surveillance en temps réel de toutes les sessions utilisateur.
  • Confirmez qu'il n'y a pas d'authentification multifacteur (MFA) par SMS dans aucune application, y compris les applications des fournisseurs. L'authentification multifacteur (MFA) basée sur les SMS peut introduire des risques importants car :
      • Les messages SMS peuvent être interceptés car ils ne sont pas cryptés
      • Les attaquants peuvent contourner l'authentification multifacteur grâce à l'ingénierie sociale
      • Les acteurs malveillants peuvent prendre le contrôle d'un numéro de téléphone, intercepter des messages SMS et obtenir un accès non autorisé via l'échange de carte SIM.
      • Les pannes peuvent empêcher les utilisateurs de recevoir des codes d'authentification

 

Identifier les points d'accès et bloquer les accès à haut risque De nombreuses organisations doivent autoriser leurs employés, les organismes de réglementation, les fournisseurs tiers et autres parties prenantes à accéder à leurs infrastructures numériques. Protégez tous les points d'entrée, en particulier ceux à haut risque, par des contrôles ou des blocages, et partez du principe que tous les fournisseurs de services gérés sont compromis.

Des mesures d'action:
  • Ne donnez à aucun tiers un accès illimité à un réseau d’entreprise.
  • Remplacez les VPN site à site par des VDI utilisant une MFA résistante au phishing et une confiance zéro dans la mesure du possible.
  • Identifiez et bloquez les domaines nouvellement créés qui semblent être des sites de phishing potentiels (par exemple, des noms de domaine typosquattés).
  • Bloquez l’exécution de tous les exécutables RAT sur les appareils gérés.
  • Bloquez les sites Web de tous les outils d’assistance à distance commerciaux connus.
  • Mettre en œuvre un blocage géographique lorsque cela est possible.
  • Bloquez les VPN commerciaux se connectant au VPN ou au VDI de l'entreprise avec un service comme ip2proxy ou Spur.
  • Bloquez les types d'appareils sur le VPN s'ils ne sont pas utilisés par le service client. (Les pirates utilisent souvent des appareils Android x86.)

 

Autorisations d'audit accordées aux RH - L’alignement strict des autorisations RH sur les nécessités opérationnelles protège les données sensibles des employés et les données financières.

Des mesures d'action:
  • Effectuer un audit complet des autorisations d’accès RH.
  • Examiner les droits d’accès des fournisseurs et des prestataires.
  • Sensibiliser le personnel RH aux risques de cybersécurité et à la gestion appropriée des données.

 

Utilitaires de transfert de données de recherche dans les applications SaaS - La surveillance et le suivi des mouvements de données au sein des systèmes SaaS (Software-as-a-Service) (par exemple, Salesforce ou ServiceNow) sont essentiels car les applications SaaS disposent souvent d'utilitaires de mouvement de données (tiers) disponibles à diverses fins et peuvent contenir des informations sensibles.

Des mesures d'action:
  • Intégrez la surveillance des utilitaires de déplacement de données dans les données de journal.
  • Configurez des alertes et des contrôles automatisés pour toute activité de données inhabituelle.

 

Consultez les adresses IP de confiance exemptées de l'authentification multifacteur - Les organisations peuvent réduire la rigueur de l'AMF concernant les demandes provenant d'un réseau de confiance, tel qu'un VPN, un réseau de bureau, etc. La minimisation de ces exemptions MFA renforce les contrôles d'accès au réseau, une étape essentielle pour sécuriser les données financières et sensibles.

Des mesures d'action:
  • Réévaluer et mettre à jour la liste des adresses IP de confiance dans l’environnement.
  • Remplacez la liste blanche d’adresses IP statiques par des politiques d’accès conditionnel dynamiques.

 

Reconnaître la menace interne posée par les représentants du service client — Scattered Spider obtient souvent un accès initial aux systèmes de l'entreprise en trompant les représentants du service client, mais il les recrute également. Recherchez régulièrement les activités potentiellement malveillantes.

Des mesures d'action:
  • Examinez l'activité des représentants du service client pour détecter des signes de compromission potentielle tels que :
    • Un nombre élevé de réinitialisations de mot de passe ou de consultations de compte sur une courte période
    • Accéder aux comptes clients sans effectuer les étapes de vérification correspondantes (par exemple, saisir le code PIN du client, faire correspondre l'ANI, etc.)
    • « Jonglerie d'identifiants », c'est-à-dire connexion au VPN avec des identifiants différents de ceux utilisés pour accéder aux outils CSR
  • Recherchez les tentatives de recrutement dans les journaux de texte d'assistance par chat/e-mail en utilisant des recherches de chaînes qui font référence à des termes courants utilisés dans les sollicitations, tels que « Telegram », « Wickr » ou « Devenez riche ».
  • Implémentez un accès limité dans le temps pour les représentants du service client pour les informations d'identification et le VPN, et alertez sur toute connexion en dehors des heures de travail normales des agents.

 

Tactiques et mesures d'atténuation des araignées dispersées

Le tableau suivant présente l'analyse des experts en cybersécurité de l'ISAC, basée sur des renseignements partagés par des milliers d'organisations membres. Nombre de ces tactiques ont été découvertes par le FBI lors de ses enquêtes sur Scattered Spider, et sont décrites dans le rapport conjoint. Avis de cybersécurité de la CISA et du FBI Scattered SpiderLes mesures d'atténuation MITRE ATT&CK sont tirées de son analyse des TTP, basée sur les observations réelles de l'organisation.

VOIR DANS LE PDF CI-DESSUS.

 

 

Le secteur de la santé pourrait être confronté à des cyberattaques en raison du conflit en Ukraine, selon un rapport
Cyber-tirs croisés : pourquoi les soins de santé deviennent un champ de bataille dans les conflits mondiaux