პროაქტიული თავდაცვის ინსტრუქცია
მომზადებულია ფინანსური მომსახურების ISAC-ის, ინფორმაციული ტექნოლოგიების ISAC-ის, სურსათისა და სოფლის მეურნეობის ISAC-ის, ჯანდაცვის ISAC-ის, ავიაციის ISAC-ის, ავტომობილების ISAC-ის, საცალო ვაჭრობისა და სტუმართმოყვარეობის ISAC-ის, საზღვაო ტრანსპორტის სისტემის ISAC-ის, ელექტროენერგიის ISAC-ის და ISAC-ების ეროვნული საბჭოს მიერ, კომუნიკაციების ISAC-ის კერძო სექტორის პარტნიორების წვლილით.
ಡೌನ್ಲೋಡ್ ಮಾಡಿ
ტექსტური ვერსია:
გაფანტული ობობის საფრთხის ანალიზი
შესავალი
ISAC-ების ეროვნული საბჭოს (NCI) წევრები მაღალი დარწმუნებით აფასებენ, რომ საფრთხის შემქმნელი ჯგუფი „გაფანტული ობობა“ რეალურ საფრთხეს წარმოადგენს და რომ მათი უნარი, სოციალური ინჟინერიის გზით, გამოიყენოს ადამიანური დაუცველობები, ამ ჯგუფს ორგანიზაციებისთვის მნიშვნელოვან რისკად აქცევს.
ეს ანალიზი დეტალურად აღწერს Scattered Spider-ის საქმიანობას 2025 წლის მაისის მდგომარეობით სხვადასხვა სექტორში დაფიქსირებული სავაჭრო საქმიანობის საფუძველზე, რაც მოიცავს:
🔹 Scattered Spider-ის ფონი, რათა ფირმებმა უკეთ შეძლონ საფრთხის ზედაპირის დაკვირვება
🔹 ტექნიკური პროცედურები და კულტურული პრაქტიკები გაფანტული ობობის შეტევების თავიდან ასაცილებლად
🔹 ინფორმაციის გაზიარებისა და ანალიზის ცენტრის (ISAC) წევრისა და FBI-ის დაზვერვისა და შესაბამისი MITRE ATT&CK-ის ანალიზი® შემსუბუქება
ექსპერტების მიერ ჩატარებული დაზვერვის შეფასების თანახმად, რეკომენდებული ზომები ეფექტური აღმოჩნდა გაფანტული ობობისა და მსგავსი საფრთხის შემცველი აქტორების წინააღმდეგ. შემამსუბუქებელი ღონისძიებები მოიცავს FS-ISAC-ის საბაზისო საჭიროებებს. კიბერ საფუძვლები, რომელიც დაკავშირებულია Scattered Spider TTP-ებთან (ტაქტიკა, ტექნიკა და პროცედურები) ცნობილ საფრთხეებზე დაყრდნობით.
თუმცა, ისეთი საფრთხის შემქმნელები, როგორიცაა Scattered Spider, მუდმივად ინოვაციებს ნერგავენ, ამიტომ ორგანიზაციებმა გულმოდგინედ უნდა აკონტროლონ თავიანთი პროცესები და იდენტობები, რათა მოძებნონ ახალი ექსპლოიტები.
ეს დასკვნები ერთობლივად მომზადდა ფინანსური მომსახურების, ინფორმაციული ტექნოლოგიების, სურსათისა და სოფლის მეურნეობის, ჯანდაცვის, ავიაციის, ავტომობილების, საცალო ვაჭრობისა და სტუმართმოყვარეობის, ასევე საზღვაო ტრანსპორტის სისტემის ISAC-ებისა და NCI-ის მიერ. NCI 28 ორგანიზაციას მოიცავს და შექმნილია კერძო სექტორის კრიტიკულ ინფრასტრუქტურებსა და სამთავრობო უწყებებს შორის ინფორმაციის ნაკადის მაქსიმიზაციისთვის.
წარსული და TTP-ები
Scattered Spider არის ფინანსურად - და არა იდეოლოგიურად - მოტივირებული ახალგაზრდა დამოუკიდებელი ოპერატორების ჯგუფი დიდ ბრიტანეთში, აშშ-სა და კანადაში. მკვლევარების აზრით, Scattered Spider არის უფრო დიდი ჰაკერული საზოგადოების ნაწილი, რომელიც ცნობილია როგორც The Community ან The Com და ორგანიზებას უწევს ონლაინ პლატფორმების, მათ შორის Discord-ისა და Telegram-ის ჯგუფური ჩატების საშუალებით. Scattered Spider იყენებს მაღალეფექტურ სოციალური ინჟინერიის ტექნიკას და რწმუნებათა სიგელების მოპარვას სამიზნე ქსელებში შესასვლელად, შემდეგ კი მონეტიზაციას უკეთებს თავის შეტევებს მონაცემთა მოპარვის, გამოძალვის ან შვილობილი გამოსასყიდის პროგრამების ოპერაციებით. ჯგუფი ცნობილია თავისი ფართომასშტაბიანი დაზვერვით, რომელიც განსაზღვრავს პერსონებს ან თანამშრომლებს სამიზნედ. Scattered Spider-ის წარმატების დიდი ნაწილი განპირობებულია მისი სისწრაფითა და მცირე ძალისხმევის, ადაპტირებადი ტარგეტირებით.
*****
გვერდი:
საფრთხის შემქმნელები ხშირად უერთდებიან ინციდენტების გამოსწორებისა და რეაგირების ზარებსა და ტელეკონფერენციებს, სავარაუდოდ, იმის დასადგენად, თუ როგორ ახორციელებენ მათზე რეაგირებას უსაფრთხოების ჯგუფები და პროაქტიულად შეიმუშავებენ შეჭრის ახალ გზებს მსხვერპლის დაცვის საპასუხოდ. ეს ზოგჯერ მიიღწევა გარემოში ახალი იდენტობების შექმნით და ხშირად მხარდაჭერილია ყალბი სოციალური მედიის პროფილებით, რათა უზრუნველყოფილი იყოს ახლად შექმნილი იდენტობები. კიბერუსაფრთხოების გაფრთხილება: გაფანტული ობობა – ფედერალური გამოძიების ბიუროს (FBI) და კიბერუსაფრთხოებისა და ინფრასტრუქტურის უსაფრთხოების სააგენტოს (CISA) ერთობლივი საკონსულტაციო
*****
2022 წლის დასაწყისიდან აქტიური Scattered Spider თავდაპირველად დაფიქსირდა ტელეკომუნიკაციებისა და ბიზნეს პროცესების აუთსორსინგის (BPO) სუბიექტების სამიზნედ, სავარაუდოდ, როგორც სოციალური ინჟინერიის ოპერაციების პლაცდარმი სხვა სამიზნეებსა და მათ დაინტერესებულ მხარეებზე არაავტორიზებული წვდომის მოსაპოვებლად. მას შემდეგ, ჯგუფი დაკავშირებულია 100-ზე მეტ შეტევასთან ბაზრის სხვადასხვა ვერტიკალზე, მაგრამ, როგორც წესი, ერთდროულად ერთ სექტორს ესხმის თავს. Scattered Spider ცნობილია 2023 წელს Caesars Entertainment-ისა და MGM Resorts-ის კომპრომეტირებით და 2022 წელს Twilio-ზე შეტევით, რამაც გამოიწვია მიწოდების ჯაჭვის შეტევა, რომელმაც გავლენა მოახდინა Signal-ის შეტყობინებების აპლიკაციაზე. მან 2025 წლის აპრილსა და მაისში აშშ-სა და დიდი ბრიტანეთის საცალო ვაჭრობის ობიექტებზე სამიზნედ აირჩია, შემდეგ კი ყურადღება ფინანსურ სექტორზე, განსაკუთრებით სადაზღვევო კომპანიებსა და ავიაციის სექტორზე გადაიტანა.
-
საწყისი წვდომა მიღებულია შემდეგი გზით:
>სოციალური ინჟინერიის შეტევები
>MFA დაღლილობის შეტევები
-
ადმინისტრატორის პრივილეგიებს იღებს შემდეგი გზით:
- სასერთიფიკატო დემპინგი
- შენახული რწმუნებათა სიგელები და საიდუმლოებები
3. მდგრადობა მიღწეულია:
> დაგეგმილი დავალებები
>მავნე სერვისები
>ლოკალური მომხმარებლის შექმნა
>ღრუბლოვანი მდგრადობის მექანიზმები
4. თავდაცვის თავიდან აცილება შესაძლებელი გახდა შემდეგი ფაქტორებით:
>AV/EDR-ის გამორთვა
>Windows-ის GPO-ების შეცვლა
>Defender-ის, ჟურნალირების ან ტელემეტრიის გამორთვა
>EDR დრაივერების წაშლა
5. გვერდითი მოძრაობა შემდეგი გზით:
>PsExec
>PowerShell-ის დისტანციური მართვა
>WMI
>ლეგიტიმური VPN ან Citrix კავშირები
ტიპური ტაქტიკაა IT დახმარების სამსახურის აგენტების დარწმუნება, რომ შეასრულონ თვითმომსახურების პაროლის აღდგენა (SSPR) სამიზნე ანგარიშებისთვის. Scattered Spider-ის ტექნიკა მოიცავს შემდეგის გამოყენებას: მოკლე შეტყობინებების სერვისის (SMS) შეტყობინებები — ანუ ტექსტური შეტყობინებები — და ხმოვანი ფიშინგი (smishing და vishing) ერთჯერადი შესვლის (SSO) დაფების, Microsoft Office 365/Azure-ის, VPN-ებისა და Edge მოწყობილობების ავტორიზაციის მონაცემების მოსაპოვებლად.
ასევე ცნობილია, რომ ჯგუფი მრავალფაქტორიანი ავთენტიფიკაციის (MFA) მითვისებით აბონენტის საიდენტიფიკაციო მოდულის (SIM) შეცვლის გზით არღვევს. შემდეგ ის შეტყობინებების დაღლილობის გზით ამარცხებს MFA-ს ან არწმუნებს დახმარების სამსახურის აგენტებს, გადააყენონ სამიზნე ანგარიშების MFA მეთოდი.
მომხმარებლის ანგარიშის წარმატებით კომპრომეტირების შემდეგ, Scattered Spider-ის აგენტები ანგარიშში სხვა მოწყობილობებს არეგისტრირებენ. როდესაც მათ ადმინისტრაციული პრივილეგიების მოპოვება შეუძლიათ, ისინი მსხვერპლის გარემოში თავდამსხმელის მიერ კონტროლირებად ანგარიშებს ქმნიან. შემდეგ საფრთხის შემქმნელი მსხვერპლის გარემოში არაავტორიზებული წვდომისთვის მუდმივობას ამყარებს და ზრდის სარეზერვო სისტემას, რათა ხელი შეუშალოს მავნე პროგრამის ან წვდომის წაშლის მცდელობებს.
შემდგომი სადაზვერვო საქმიანობა მოიცავს კორპორატიული პლატფორმების - მათ შორის Windows-ის, Linux-ის, Google Workspace-ის, Microsoft Entra ID-ის (ყოფილი Azure Active Directory), Microsoft 365-ის, AWS-ის და ღრუბლოვან ინფრასტრუქტურაში განთავსებული სხვა ინსტრუმენტების - აღმოჩენის მცდელობას და გვერდითი ნაბიჯების გადადგმას, შესაბამისი ინსტრუმენტების ჩამოტვირთვას მგრძნობიარე მონაცემების მოსაშორებლად.
*****
გვერდი:
Health-ISAC-მა მიიღო დაზვერვა, რომელიც Amadey ბოტნეტს Scattered Spider-ის შეტევებთან აკავშირებდა. Amadey ბოტნეტს იყენებდნენ გამოსასყიდის მოთხოვნის მქონე პირები, როგორიცაა BlackSuit, BlackBasta და Akira, მსხვერპლთა ქსელებში მავნე პროგრამების ჩასატვირთად. ბოტნეტმა თავი აარიდა სამართალდამცავ ორგანოებს მავნე პროგრამების, როგორც სერვისის (MaaS) პლატფორმების წინააღმდეგ მიმართული ქმედებებისგან, რამაც მას 2018 წლიდან განვითარების საშუალება მისცა.
*****
მსხვერპლის მშობლიური ინფრასტრუქტურის ასეთი ღრმა გაგება Scattered Spider-ს საშუალებას აძლევს, განახორციელოს მავნე შემდგომი აქტივობები. სწორედ ამ ღრმა გაგების - მაგალითად, მისი უნარის - მეშვეობით, განახორციელოს „მიწიდან ცარიელად ცხოვრების ტექნიკები“ - შეუძლია ჯგუფს თავი აარიდოს სტანდარტული აღმოჩენის მეთოდებს. საფრთხის შემცველ ჯგუფს ასევე შეუძლია განათავსოს მავნე პროგრამა, რომელიც შლის მავნე ხელმოწერილ დრაივერებს, რომლებიც შექმნილია უსაფრთხოების პროგრამულ უზრუნველყოფასთან დაკავშირებული პროცესების შესაწყვეტად და ფაილების წასაშლელად.
Scattered Spider იყენებს ახლახან რეგისტრირებულ და ძალიან დამაჯერებელ ფიშინგ დომენურ სახელებს, რომლებიც ლეგიტიმურ შესვლის პორტალებს, განსაკუთრებით Okta-ს ავტორიზაციის გვერდებს ბაძავენ. ამ დომენებს მოკლე სიცოცხლის ხანგრძლივობა ან უწყვეტი მუშაობა აქვთ, რაც აღმოჩენას ართულებს.
2023 წლიდან, Scattered Spider-ის ხუთი განსხვავებული ფიშინგის ნაკრების გამოყენებით დაფიქსირდა, რადგან ჯგუფის განლაგების სტრატეგიები განვითარდა და დინამიური DNS პროვაიდერები მოიცავდა. გარდა ამისა, ჯგუფმა Spectre-ის დისტანციური წვდომის ტროიანი (RAT) თავის შეტევის ჯაჭვში ჩართო, რათა მავნე პროგრამა კომპრომეტირებულ სისტემებზე განლაგებულიყო მუდმივი წვდომის მოსაპოვებლად. ეს მავნე პროგრამა მოიცავს დისტანციური დეინსტალაციისა და დამატებით ბრძანებისა და კონტროლის (C2) სერვერებთან კავშირების უზრუნველყოფის მექანიზმებს, რაც იმაზე მიუთითებს, რომ ჯგუფი შესაძლოა C2 ინფრასტრუქტურას მსხვერპლთა ქსელებზე ექსპლუატაციის შემდგომი ქმედებების განსახორციელებლად იყენებდეს.
*****
გვერდი:
|
Scattered Spider-ის მიერ გამოყენებული ცნობილი დომენური სახელები
|
- targetsname-servicedesk[.]com
|
|
|
- სამიზნეების სახელი-cms[.]com
|
- targetsname-helpdesk[.]com
|
- oktalogin-targetcompany[.]com
|
გაფანტული ობობა კიბერუსაფრთხოების კონსულტაცია ერთობლივად მომზადებულია FBI-ის, CISA-ს, კანადის სამეფო ცხენოსანი პოლიციის, ავსტრალიის სიგნალების დირექტორატის ავსტრალიის კიბერუსაფრთხოების ცენტრის, ავსტრალიის ფედერალური პოლიციის, კანადის კიბერუსაფრთხოების ცენტრის და გაერთიანებული სამეფოს ეროვნული კიბერუსაფრთხოების ცენტრის მიერ.
*****
რეკომენდაციები
შემდეგი რეკომენდაციები ეფექტური აღმოჩნდა ISAC-ის წევრებისთვის. ბევრი მათგანი აღებულია FS-ISAC-ის რეკომენდაციებიდან. კიბერ საფუძვლები, რისკზე დაფუძნებული, კიბერუსაფრთხოების საბაზისო აუცილებლობების სიღრმისეული დაცვაზე ორიენტირებული მიდგომა, რომელიც გამოიყენება კიბერსიმაღლის ნებისმიერ დონეზე მყოფი ორგანიზაციებისთვის.
გამოიყენეთ მრავალარხიანი ვერიფიკაციის პროცესი — არცერთი ორგანიზაცია არ უნდა დაეყრდნოს თანამშრომლების პაროლის შეცვლის ან MFA-ს აღდგენის მოთხოვნებს კომუნიკაციის ერთ არხს. ზოგიერთ ფირმას შეიძლება ისარგებლოს წინასწარ განსაზღვრული კითხვების სიის გამოყენებით, რომელზეც პასუხის გაცემა მხოლოდ თანამშრომელს შეუძლია პაროლის და MFA-ს აღდგენის დასაწყებად. IT თანამშრომლებმა ყოველთვის უნდა იგრძნონ თავი უფლებამოსილად, გაასაჩივრონ ნებისმიერი სხვა თანამშრომლის დადასტურების მოთხოვნა.
სამოქმედო ნაბიჯები:
- IT დეპარტამენტმა უნდა გამოიყენოს მრავალარხიანი ვერიფიკაცია, მათ შორის:
- ელექტრონული ფოსტით, ტექსტური შეტყობინებით ან ტელეფონით გაკეთებული მოთხოვნების დადასტურება წინასწარ რეგისტრირებულ და ცნობილ ტელეფონის ნომერზე უკუკავშირით
- სტატიკური PIN კოდები ფიზიკურ ბეიჯზე
- ვიზუალური ვალიდაცია
- გამოიყენეთ ხმოვანი პაროლი, რომელიც მხოლოდ თანამშრომლებისთვის არის ცნობილი, ან პასუხების ნაკრები ისეთ კითხვებზე, რომელთა გამოცნობაც ადვილი არ არის, მაგალითად, „რა არის თქვენი დედის ქალიშვილობის გვარი? როდის დაიწყეთ დასაქმება? რა არის თქვენი სამსახურის ლეპტოპის აქტივის ნიშანი?“
მოითხოვეთ ორი თანამშრომლისგან გარკვეული ტიპის მოთხოვნების — მაგალითად, დიდი ფინანსური გადარიცხვების — ან მაღალი პრივილეგიების მქონე თანამშრომლების მოთხოვნების — დამტკიცება.
- დაუკავშირდით თანამშრომლის მენეჯერს, როდესაც თანამშრომელი მოითხოვს როგორც რწმუნებათა სიგელების, ასევე MFA-ს გადატვირთვას..
- ხელი შეუწყვეთ ისეთ კულტურას, სადაც IT პერსონალს მოელიან და ექნებათ უფლებამოსილება, რომ კითხვები დაუსვან ნებისმიერ უჩვეულო ან ძალიან მგრძნობიარე მოთხოვნას, თუნდაც აღმასრულებლებისგან, შედეგების შიშის გარეშე.
ფოკუსირება სოციალური ინჟინერიის ტაქტიკაზე — Scattered Spider ეყრდნობა სოციალური ინჟინერიის ექსპლოიტებს და ძალიან კრეატიულია ფიშინგის, ვიშინგისა და სმიშინგის გამოყენებაში. საფრთხის შემცველი ჯგუფი ხშირად ნერგავს სასწრაფო მოქმედების გრძნობას თავის სატყუარებში და იყენებს მსხვერპლთა შიშებს, თანაგრძნობას და ავტორიტეტის პატივისცემას. ჩართეთ ეს TTP-ები სიმულაციებში და შეამოწმეთ თანამშრომლების რეაქციები მათზე.
სამოქმედო ნაბიჯები:
- ჩაატარეთ მუდმივი, სავალდებულო უსაფრთხოების ცნობიერების ამაღლების ტრენინგი და ფიშინგის სიმულაციები გავრცელებული და მიმდინარე სატყუარების გამოყენებით.
- მოარგეთ ტრენინგი როლს — IT დახმარების სამსახურს, მომხმარებელთა მომსახურების წარმომადგენლებს, ადამიანური რესურსების თანამშრომლებს და C-Suite-ის ხელმძღვანელებს შესაძლოა დასჭირდეთ უფრო დეტალური და სპეციფიკური ტრენინგი საფრთხის შემცველი აქტორების ტაქტიკასა და მიმდინარე კამპანიებზე.
- მომხმარებელთა მომსახურების წარმომადგენლებისთვის დახმარების სამსახურის პროცედურების გაცნობა გადამზადეთ. მაგალითად, დაარწმუნეთ, რომ მათი დახმარების სამსახური არასდროს სთხოვს თანამშრომელს დისტანციური დახმარების პროგრამული უზრუნველყოფის ინსტალაციას ან უსაფრთხოების კონტროლის გვერდის ავლას.
- გამოიყენეთ მინიმალური პრივილეგიები, რათა თანამშრომლებმა, განსაკუთრებით მომხმარებელთა მომსახურების წარმომადგენლებმა, დამატებითი დადასტურება მოითხოვონ საბოლოო მომხმარებლისგან, სანამ უფრო ფართო წვდომის უზრუნველყოფას შეძლებენ.
გადახედეთ ადმინისტრატორების, განსაკუთრებით ღრუბლოვანი ადმინისტრატორების, სოციალურ მედიაში პროფილებს ადმინისტრატორების სოციალური მედიის პროფილებსა და პოსტებში შეიძლება უნებლიეთ აჩვენონ სამუშაოსთან დაკავშირებული ინფორმაცია - მაგალითად, პასუხისმგებლობები, სამუშაო ისტორია, კოლეგები, ყოველდღიური რუტინა - რომელსაც საფრთხის შემქმნელები იყენებენ თავდასხმების მოსარგებად (მაგ., მოგზაურობის მარშრუტების გამოყენება სანდოობის ან სასწრაფოობის დასადგენად სავიზიტო კამპანიაში). ღრუბლოვანი ადმინისტრატორები განსაკუთრებული სამიზნეები არიან. მათი წვდომის პრივილეგიების მოპოვება საფრთხის შემქმნელებს მისცემს წვდომას და კონტროლს ძვირფას ღრუბლოვან რესურსებზე და ფართომასშტაბიანი ზიანის მიყენების შესაძლებლობას. კომპანიებმა უნდა დანერგონ სოციალური მედიის პოლიტიკა, რომელიც აღწერს ინფორმაციის გამოყენებას საფრთხის შემქმნელების მიერ და აკრძალავს ასეთ ინფორმაციას სოციალური მედიის პოსტებში. რეგულარულად გადახედეთ ადმინისტრატორების სოციალურ მედიას - განსაკუთრებით ღრუბლოვანი ადმინისტრატორების პოსტებს - სოციალური მედიის პოლიტიკასთან შესაბამისობისთვის.
სამოქმედო ნაბიჯები:
- შეიმუშავეთ და აღასრულეთ დეტალური, წვდომაზე ორიენტირებული სოციალური მედიის პოლიტიკა, რომელიც განმარტავს ინფორმაციის ტიპებს, რომელთა გამოქვეყნებაც დაშვებულია და რომელთა გამოქვეყნებაც არ არის დაშვებული.
- ჩაატარეთ აუდიტები შესაბამისობის უზრუნველსაყოფად.
- ჩაატარეთ ტრენინგი მგრძნობიარე პროფესიული დეტალების გაზიარების რისკებთან დაკავშირებით.
შეაფასეთ დახმარების სამსახურის წვდომის უფლებები - დახმარების სამსახურის უფლებები შეიძლება დროთა განმავლობაში შეიცვალოს, რაც ზოგჯერ პრივილეგიებს ანიჭებს ყველა ადმინისტრაციულ კონსოლს, როგორიცაა ფოსტის ნაკადი, უსაფრთხოების კონტროლი და ა.შ. დახმარების სამსახურის წვდომის უფლებების აუდიტი უზრუნველყოფს ოპერაციულ საჭიროებებთან შესაბამისობას და ამავდროულად ხელს უშლის არაავტორიზებული წვდომის გამოყენებას, რომლის გამოყენებაც შესაძლებელია ისეთი საფრთხის შემცველი აქტორების მიერ, როგორიცაა Scattered Spider. ავტომატიზირებული მართვის სისტემები აძლიერებს ზედამხედველობას.
სამოქმედო ნაბიჯები:
- დანერგეთ ავტომატიზირებული სისტემები წვდომის უფლებების უწყვეტი მონიტორინგისა და კორექტირებისთვის.
- დაგეგმეთ წვდომის რეგულარული მიმოხილვები, რათა უზრუნველყოთ სამუშაო ფუნქციებთან შესაბამისობა.
ვირტუალური მანქანების მონიტორინგი ღრუბლოვან გარემოში – დანერგეთ მონიტორინგის ინსტრუმენტები, რათა უზრუნველყოთ შეტყობინებები არაავტორიზებული ვირტუალური მანქანების (VM) აქტივობების შესახებ, როგორიცაა საეჭვო სერვისები, რესურსების არანორმალური გამოყენება და პრივილეგიების ესკალაციის მცდელობები, პროტოკოლებით, რომლებიც სწრაფად იზოლირებას და გამორთვას უზრუნველყოფს საეჭვო ვირტუალური მანქანების. სწრაფი რეაგირების ეს შესაძლებლობა გადამწყვეტია საეჭვო აქტივობის იდენტიფიცირებისთვის, პოტენციური დარღვევების თავიდან ასაცილებლად და საფრთხეების შესამცირებლად.
სამოქმედო ნაბიჯები:
- შეადგინეთ ნებადართული საქმიანობის სია.
- განათავსეთ მონიტორინგისა და განგაშის სისტემები და მოძებნეთ მათში არსებული ხარვეზები.
- არაავტორიზებული საქმიანობისთვის სწრაფი რეაგირების პროტოკოლების შემუშავება.
- აღმოფხვრეთ არასაჭირო RMM ინსტრუმენტები და ჩართეთ honeytokens RMM ინსტრუმენტების გამოყენებაში ადრეული აღმოჩენისა და თითის ანაბეჭდის განსაზღვრისთვის.
- დააკონფიგურირეთ ბრაუზერები და დავალებები მუდმივი ქუქი-ფაილების რეგულარულად წასაშლელად.
- მინიმუმამდე დაიყვანეთ ვებ-ქუქის სიცოცხლისუნარიანობის ხანგრძლივობა — Scattered Spider იყენებს მათ მუდმივი წვდომისა და მონაცემების ამოღებისთვის.
ვირტუალური სამუშაო მაგიდის ინფრასტრუქტურის უსაფრთხოების კონტროლის გადახედვა - დარწმუნდით, რომ ვირტუალური დესკტოპის ინფრასტრუქტურის (VDI) გარემო დაცულია MFA-თი და მუდმივად აკონტროლეთ მომხმარებლის აქტივობები.
სამოქმედო ნაბიჯები:
- გადახედეთ VDI მომხმარებელთა სიას, რათა დარწმუნდეთ, რომ ის განახლებულია.
- MFA-ს აღსრულება.
- არ დაუშვათ პირად მოწყობილობებს Office 365-ზე, Enterprise Google Workspace-ზე, კორპორატიულ VPN-ებზე და ა.შ. პირდაპირი წვდომა.
- მოითხოვეთ ფიშინგისგან მდგრადი MFA, როგორიცაა YubiKeys, Windows Hello for Business და ა.შ. არ ენდოთ მომხმარებლებს MFA მოთხოვნების დამტკიცებაში ან კოდების გაცემაში.
- თუ ორგანიზაციას აქვს VDI მესამე მხარისთვის წვდომის დასაშვებად, დარწმუნდით, რომ ამ VDI-ებს არ შეუძლიათ წვდომა უსაფრთხო გარსებზე (SSH) ან დისტანციური სამუშაო მაგიდის პროტოკოლებზე (RDP) ან იმ ვებსაიტებზე, რომლებიც მომხმარებლისთვის სამუშაოს შესასრულებლად აუცილებელი არ არის.
- რეგულარული აუდიტის ჩატარება და მომხმარებლის ყველა სესიის რეალურ დროში მონიტორინგი.
- დაადასტურეთ, რომ არცერთ აპლიკაციაში, მათ შორის მომწოდებლის აპლიკაციებში, არ არის SMS-ის საშუალებით MFA შეტყობინებები. SMS-ზე დაფუძნებულ MFA-ს შეუძლია მნიშვნელოვანი რისკების შექმნა, რადგან:
-
- SMS შეტყობინებების ჩაჭრა შესაძლებელია, რადგან ისინი დაშიფრული არ არის
- თავდამსხმელებს შეუძლიათ MFA-ს გვერდის ავლა სოციალური ინჟინერიის საშუალებით.
- საფრთხის შემქმნელებს შეუძლიათ ტელეფონის ნომრის კონტროლი, SMS შეტყობინებების ჩაჭრა და არაავტორიზებული წვდომის მოპოვება SIM ბარათის შეცვლის გზით.
- გათიშვამ შეიძლება ხელი შეუშალოს მომხმარებლებს ავტორიზაციის კოდების მიღებაში
წვდომის წერტილების იდენტიფიცირება და მაღალი რისკის წვდომის დაბლოკვა – ბევრმა ორგანიზაციამ უნდა მისცეს თანამშრომლებს, მარეგულირებელ ორგანოებს, მესამე მხარის მომწოდებლებს და სხვებს მათ ციფრულ ინფრასტრუქტურაზე წვდომის უფლება. დაიცავით ყველა შესვლის წერტილი - განსაკუთრებით მაღალი რისკის მქონე - კონტროლის ან ბლოკირების გზით და ჩათვალეთ, რომ ყველა მართული მომსახურების მიმწოდებელი კომპრომეტირებულია.
სამოქმედო ნაბიჯები:
- არ მისცეთ მესამე მხარეს კორპორატიულ ქსელზე შეუზღუდავი წვდომა.
- საიტიდან საიტზე VPN-ები შეცვალეთ VDI-ებით, ფიშინგ-რეზისტენტული MFA-ს და ნულოვანი ნდობის გამოყენებით, სადაც ეს შესაძლებელია.
- ახლად შექმნილი დომენების იდენტიფიცირება და დაბლოკვა, რომლებიც პოტენციურად ფიშინგის საიტებს წარმოადგენენ (მაგ., დომენური სახელების ტიპოსკლეროზი).
- დაბლოკეთ ნებისმიერი RAT შესრულებადი ფაილის გაშვება მართულ მოწყობილობებზე.
- დაბლოკეთ ყველა ცნობილი კომერციული დისტანციური დახმარების ინსტრუმენტის ვებსაიტები.
- გეოგრაფიული ბლოკირების განხორციელება, სადაც ეს შესაძლებელია.
- დაბლოკეთ კომერციული VPN-ები, რომლებიც კორპორატიულ VPN-თან ან VDI-თან უკავშირდებიან ისეთი სერვისით, როგორიცაა ip2proxy ან Spur.
- VPN-ზე მოწყობილობების ტიპების დაბლოკვა, თუ მათ მომხმარებელთა მომსახურების წარმომადგენლები არ იყენებენ. (მოწინააღმდეგეები ხშირად იყენებდნენ Android x86 მოწყობილობებს.)
HR-ისთვის მინიჭებული აუდიტის ნებართვები - ადამიანური რესურსების ნებართვების ოპერაციულ საჭიროებებთან მკაცრი შესაბამისობაში მოყვანა იცავს თანამშრომლებისა და ფინანსური მგრძნობიარე მონაცემებს.
სამოქმედო ნაბიჯები:
- ჩაატარეთ ადამიანური რესურსების წვდომის ნებართვების ყოვლისმომცველი აუდიტი.
- გადახედეთ გამყიდველისა და პროვაიდერის წვდომის უფლებებს.
- ადამიანური რესურსების მართვის პერსონალის განათლება კიბერუსაფრთხოების რისკებისა და მონაცემთა სათანადო დამუშავების შესახებ.
SaaS აპლიკაციებში მონაცემთა გადაადგილების უტილიტების კვლევა - SaaS (პროგრამული უზრუნველყოფა, როგორც სერვისი) სისტემებში (მაგ., Salesforce ან ServiceNow) მონაცემთა გადაადგილების მონიტორინგი და თვალყურის დევნება კრიტიკულად მნიშვნელოვანია, რადგან SaaS აპლიკაციებს ხშირად აქვთ (მესამე მხარის) მონაცემთა გადაადგილების კომუნალური პროგრამები სხვადასხვა მიზნებისთვის და შეიძლება შეიცავდეს მგრძნობიარე ინფორმაციას.
სამოქმედო ნაბიჯები:
- მონაცემთა გადაადგილების მონიტორინგის უტილიტის ინტეგრირება ჟურნალის მონაცემებში.
- უჩვეულო მონაცემთა აქტივობის შემთხვევაში დააყენეთ ავტომატური შეტყობინებები და კონტროლი.
MFA-სგან გათავისუფლებული სანდო IP მისამართების მიმოხილვა - ორგანიზაციებმა შეიძლება შეამცირონ MFA-ს სიზუსტე სანდო ქსელიდან, როგორიცაა VPN, ოფისის ქსელი და ა.შ., მოთხოვნებთან დაკავშირებით. MFA-ს ამ გამონაკლისების მინიმიზაცია აძლიერებს ქსელში წვდომის კონტროლს, რაც სასიცოცხლოდ მნიშვნელოვანი ნაბიჯია ფინანსური და მგრძნობიარე მონაცემების უსაფრთხოების უზრუნველსაყოფად.
სამოქმედო ნაბიჯები:
- გარემოში სანდო IP მისამართების სიის ხელახლა შეფასება და განახლება.
- სტატიკური IP მისამართის თეთრი სია დინამიური პირობითი წვდომის პოლიტიკებით ჩაანაცვლეთ.
აღიარეთ მომხმარებელთა მომსახურების წარმომადგენლების მიერ შექმნილი ინსაიდერული საფრთხე — Scattered Spider ხშირად ბიზნეს სისტემებზე საწყის წვდომას მომხმარებელთა მომსახურების წარმომადგენლების მოტყუებით იღებს, თუმცა ის ასევე მათაც იზიდავს. რეგულარულად შეამოწმეთ პოტენციურად მავნე აქტივობები.
სამოქმედო ნაბიჯები:
- შეამოწმეთ მომხმარებელთა მომსახურების წარმომადგენლების აქტივობა პოტენციური კომპრომეტირების ნიშნების აღმოსაჩენად, როგორიცაა:
- პაროლის აღდგენის ან ანგარიშის ნახვების დიდი რაოდენობა მოკლე დროში
- მომხმარებლის ანგარიშებზე წვდომა ვერიფიკაციის ნაბიჯების შეუსაბამობის გარეშე (მაგ., მომხმარებლის PIN კოდის შეყვანა, ANI-სთან შეუსაბამობა და ა.შ.)
- „სერთიფიკატების ჟონგლიორობა“, ანუ VPN-ში შესვლა CSR ინსტრუმენტებზე წვდომისთვის გამოყენებული სერთიფიკატებისგან განსხვავებული სერთიფიკატებით.
- ჩატის/ელფოსტის მხარდაჭერის ტექსტურ ჟურნალებში მოძებნეთ დასაქმების მცდელობები სტრიქონული ძიების გამოყენებით, რომელიც მოიხსენიებს მოწვევებში გამოყენებულ გავრცელებულ ტერმინებს, როგორიცაა „Telegram“, „Wickr“ ან „Get Rich“.
- მომხმარებელთა მომსახურების წარმომადგენლებისთვის სერთიფიკატებისა და VPN-ის დროში შეზღუდული წვდომის უზრუნველყოფა და აგენტების სამუშაო საათების მიღმა ნებისმიერი შესვლის შესახებ შეტყობინების გაგზავნა.
გაფანტული ობობის ტაქტიკა და შერბილება
ქვემოთ მოცემულ ცხრილში მოცემულია ISAC-ის კიბერუსაფრთხოების ექსპერტების მიერ ათასობით წევრი ორგანიზაციის მიერ გაზიარებული დაზვერვის ანალიზი. ტაქტიკის უმეტესობა FBI-მ აღმოაჩინა Scattered Spider-ის გამოძიების დროს, რომლებიც ერთობლივ დოკუმენტშია აღწერილი. CISA-სა და FBI-ის Scattered Spider-ის კიბერუსაფრთხოების შესახებ საკონსულტაციო ინფორმაციაMITRE ATT&CK-ის შემარბილებელი ღონისძიებები შედგენილია TTP-ების ანალიზიდან, ორგანიზაციის რეალურ დაკვირვებებზე დაყრდნობით.
იხილეთ ზემოთ მოცემულ PDF ფაილში.
