Упатство за проактивна одбрана
Подготвено од ISAC за финансиски услуги, ISAC за информатичка технологија, ISAC за храна и земјоделство, ISAC за здравство, ISAC за авијација, ISAC за автомобилска индустрија, ISAC за малопродажба и угостителство, ISAC за поморски транспортен систем, ISAC за електрична енергија и Националниот совет на ISAC, со придонеси од партнерите од приватниот сектор за комуникации на ISAC.
превземи
Текст верзија:
Анализа на заканата од расфрлани пајаци
Вовед
Членовите на Националниот совет на ISAC (NCI) со голема доверба проценуваат дека групата актери на закана „Scattered Spider“ претставува реална закана и дека нејзината способност да ги искористи човечките ранливости преку социјален инженеринг ја прави групата значаен ризик за организациите.
Оваа анализа ги детализира активностите на Scattered Spider врз основа на нејзиното набљудувано занимање низ секторите од мај 2025 година, обезбедувајќи:
🔹 Позадина на Scattered Spider за фирмите подобро да ја опфатат површината на заканата
🔹 Технички процедури и културни практики за спречување на напади од расфрлани пајаци
🔹 Анализа на член на Центарот за споделување и анализа на информации (ISAC) и разузнавачките служби на ФБИ и соодветните MITRE ATT&CK® ублажувања
Препорачаните мерки се покажаа како ефикасни против Scattered Spider и слични закани, според експертската проценка на разузнавачките информации. Ублажувањата ги вклучуваат основните потреби на FS-ISAC. сајбер основи, клучен за TTP-и (тактики, техники и процедури) на Расфрлани пајаци врз основа на познати закани.
Сепак, заканувачките актери како што е Scattered Spider постојано воведуваат иновации, па затоа организациите мора да бидат вредни во континуираното следење на нивните процеси и идентитети за да бараат нови експлоатации.
Овие наоди беа изработени заеднички од страна на ISAC-ите за финансиски услуги, информатичка технологија, храна и земјоделство, здравство, воздухопловство, автомобилска индустрија, малопродажба и угостителство и поморски транспортен систем, и NCI. NCI опфаќа 28 организации и е дизајниран да го максимизира протокот на информации низ критичните инфраструктури на приватниот сектор и владините агенции.
Позадина и TTP-и
„Scattered Spider“ е финансиски – а не идеолошки – мотивирана група млади независни оператори во Велика Британија, САД и Канада. Според истражувачите, „Scattered Spider“ е дел од поголема хакерска заедница позната како „The Community“ или „The Com“, која се организира преку онлајн платформи, вклучувајќи ги групните разговори на Discord и Telegram. „Scattered Spider“ користи високо ефикасни техники на социјално инженерство и кражба на акредитиви за да добие пристап до целните мрежи, а потоа ги монетизира своите напади преку кражба на податоци, изнудување или партнерски операции со рансомвер. Групата е позната по своето обемно извидување кое идентификува личности за усвојување или вработени за таргетирање. Голем дел од успехот на „Scattered Spider“ се припишува на неговата брзина и лесно прилагодливо таргетирање.
*****
Странична лента:
Актерите на закана често се приклучуваат на повици за санација и одговор на инциденти и телеконференции, веројатно за да идентификуваат како безбедносните тимови ги бараат и проактивно да развијат нови патишта за упад како одговор на одбраната на жртвите. Ова понекогаш се постигнува со создавање нови идентитети во околината и често се поткрепува со лажни профили на социјалните медиуми за да се поткрепат новосоздадените идентитети.“ Совет за сајбер безбедност: Расфрлан пајак – заеднички совет на Федералното истражно биро (ФБИ) и Агенцијата за сајбер безбедност и инфраструктурна безбедност (CISA)
*****
Активен од почетокот на 2022 година, Scattered Spider првично беше забележан како ги таргетира субјектите за телекомуникации и аутсорсинг на деловни процеси (BPO), веројатно како појдовна точка за операции на социјално инженерство за добивање неовластен пристап до други цели и нивните засегнати страни. Оттогаш, групата е поврзана со над 100 напади низ повеќе пазарни вертикали, но има тенденција да таргетира еден сектор истовремено. Scattered Spider е озлогласен по компромитирањето на Caesars Entertainment и MGM Resorts во 2023 година и нападот врз Twilio во 2022 година, што резултираше со напад врз синџирот на снабдување што влијаеше на апликацијата за пораки Signal. Ги таргетираше трговците на мало во САД и Велика Британија во април и мај 2025 година, а потоа го префрли својот фокус на финансискиот сектор, особено осигурителните компании и воздухопловниот сектор.
-
Првичен пристап добиен преку:
>Напади од социјален инженеринг
>MFA напади на замор
-
Ги заробува администраторски привилегии преку:
- Дампинг на акредитиви
- Зачувани акредитиви и тајни
3. Упорност добиена со:
>Закажани задачи
>Злонамерни услуги
> Креирање на локални корисници
>Механизми за перзистенција во облак
4. Избегнување на одбраната овозможено од:
>Оневозможување на AV/EDR
>Промена на Windows GPO-ата
>Оневозможување на Defender, евидентирање или телеметрија
>Отстранување на EDR драјвери
5. Латерално движење преку:
>PsExec
>Далечинско управување со PowerShell
>WMI
>Легитимни VPN или Citrix конекции
Типична тактика е да се убедат агентите од ИТ службата за помош да извршат самостојни ресетирања на лозинки (SSPR) за целни сметки. Техниките на Scattered Spider вклучуваат употреба на пораки преку услугата за кратки пораки (СМС) — т.е. испраќање текстуални пораки — и гласовен фишинг (smishing и vishing) за собирање на акредитиви за контролни табли со еднократно најавување (SSO), Microsoft Office 365/Azure, VPN мрежи и Edge уреди.
Групата е позната и по тоа што ја киднапира повеќефакторската автентикација (MFA) преку замена на модулот за идентитет на претплатникот (SIM). Потоа ја победува MFA преку замор од известувања или ги убедува агентите на службата за помош да го ресетираат методот MFA на целните сметки.
Откако успешно ќе ја компромитираат сметката на корисникот, оперативците на Scattered Spider регистрираат други уреди под сметката. Кога можат да добијат административни привилегии, создаваат сметки контролирани од напаѓачот во рамките на околината на жртвата. Потоа, заканувачкиот актер воспоставува перзистентност за неовластен пристап до околината на жртвата и вградува редундантност за да ги спречи обидите за отстранување на малициозен софтвер или пристап.
Последователната извидувачка активност вклучува обид за откривање на корпоративни платформи – вклучувајќи Windows, Linux, Google Workspace, Microsoft Entra ID (порано Azure Active Directory), Microsoft 365, AWS и други алатки хостирани во облачната инфраструктура – и странично движење, преземање на соодветните алатки за извлекување на чувствителни податоци.
*****
Странична лента:
Health-ISAC доби разузнавачки информации што го поврзуваат ботнетот Amadey со нападите Scattered Spider. Ботнетот Amadey го користат актери на ransomware како што се BlackSuit, BlackBasta и Akira за да фрлаат вчитувачи на малициозен софтвер во мрежите на жртвите. Ботнетот ги избегна мерките за спроведување на законот против платформите за малициозен софтвер како услуга (MaaS), што му овозможи да еволуира од 2018 година.
*****
Ова длабоко разбирање на матичната инфраструктура на жртвата му овозможува на Scattered Spider да извршува злонамерни последователни активности. Преку ова длабоко разбирање - на пример, неговата способност да извршува техники на „живеење надвор од земјата“ - групата може да ги избегне стандардните методи на детекција. Групата за закана може да распореди и малициозен софтвер кој ги отстранува злонамерните потпишани драјвери дизајнирани да ги прекинат процесите поврзани со безбедносниот софтвер и да ги избришат датотеките.
Scattered Spider користи неодамна регистрирани и многу убедливи фишинг доменски имиња кои имитираат легитимни портали за најавување, особено страници за автентикација на Okta. Овие домени имаат краток век на траење или време на работа, што го отежнува откривањето.
Од 2023 година, Scattered Spider е забележан како користи пет различни фишинг комплети, бидејќи стратегиите за распоредување на групата еволуираа за да вклучат Dynamic DNS провајдери. Дополнително, групата го вклучи тројанецот со далечински пристап Spectre (RAT) во својот синџир на напади за распоредување на малициозен софтвер на компромитирани системи за да се добие постојан пристап. Овој малициозен софтвер вклучува механизми за далечинско деинсталирање и посредување конекции до дополнителни сервери за команда и контрола (C2), што сугерира дека групата може да користи C2 инфраструктура за спроведување дејства по експлоатацијата на мрежите на жртвите.
*****
Странична лента:
|
Познати доменски имиња што ги користи Scattered Spider
|
- име на цели-сервисна служба[.]com
|
|
|
|
|
- име на целите-помошна служба[.]com
|
- oktalogin-targetcompany[.]com
|
Расфрлан пајак Советување за сајбер безбедност изработено заеднички од ФБИ, CISA, Кралската канадска коњаничка полиција, Австралискиот центар за сајбер безбедност на Австралиската дирекција за сигнали, Австралиската федерална полиција, Канадскиот центар за сајбер безбедност и Националниот центар за сајбер безбедност на Обединетото Кралство.
*****
Препораки
Следните препораки се покажаа како ефикасни за членовите на ISAC. Многу од нив се извлечени од FS-ISAC. сајбер основи, пристап базиран на ризик, длабински одбранбен пристап кон основните сајбер-безбедносни потреби применлив за организации на кое било ниво на сајбер-зрелост.
Користете процес на повеќеканална верификација — Ниту една организација не треба да се потпира на еден канал за комуникација за промените на лозинките на вработените или барањата за ресетирање на MFA. Некои фирми може да имаат корист од користење на однапред одредена листа на прашања на кои само вработениот може да одговори за да иницира ресетирање на лозинката и MFA. И ИТ вработените секогаш треба да се чувствуваат овластени да го оспорат барањето за верификација на кој било друг вработен.
Акциски чекори:
- ИТ одделот треба да користи повеќеканална верификација, вклучувајќи:
- Потврда на барања направени преку е-пошта, СМС-порака или телефон со повратен повик на претходно регистриран и добро познат телефонски број
- Статични ПИН-кодови на физичка значка
- Визуелна валидација
- Користете гласовна лозинка позната само на вработените или збир одговори на прашања што не се лесно погодливи, на пр. „Кое е моминското презиме на вашата мајка? Кој беше датумот на вашиот почеток на вработување? Која е ознаката на вашиот работен лаптоп?“
Побарајте од двајца вработени да одобрат одредени видови барања - како што се големи финансиски трансфери - или барања од вработени со високо ниво на привилегии.
- Контактирајте го менаџерот на вработениот кога вработениот ќе побара ресетирање и на акредитивите и на MFA..
- Негувајте култура каде што од ИТ персоналот се очекува и е овластен да ги доведува во прашање сите необични или многу чувствителни барања, дури и од раководителите, без страв од последици.
Фокус на тактики на социјално инженерство — Scattered Spider се потпира на експлоатации на социјален инженеринг и е многу креативен во употребата на фишинг, вишинг и смишинг. Групата за закана често всадува чувство на итност во своите мамки и ги користи стравовите, емпатијата и почитта кон авторитетот на жртвите. Вклучете ги тие TTP во симулациите и тестирајте ги реакциите на вработените на нив.
Акциски чекори:
- Спроведувајте континуирана, задолжителна обука за подигање на свеста за безбедноста и симулации за фишинг со вообичаени и тековни мамки.
- Прилагодете ја обуката на улогата — ИТ службата за помош, претставниците за услуги на клиентите, персоналот за човечки ресурси и раководителите од C-Suite може да бараат подетална и специфична обука за тактиките на заканувачките актери и тековните кампањи.
- Обучете ги претставниците за услуги на клиентите за процедурите на службата за помош. На пример, нагласете дека нивната служба за помош никогаш нема да побара од вработен да инсталира софтвер за далечинска помош или да заобиколи каква било безбедносна контрола.
- Користете најмали привилегии, така што вработените, особено претставниците за услуги на клиентите, ќе бараат дополнителна верификација од крајниот корисник пред да обезбедат поголем пристап.
Прегледајте ги профилите на администраторите на социјалните медиуми, особено администраторите во облак Профилите и објавите на администраторите на социјалните медиуми можат ненамерно да прикажат информации поврзани со работата - т.е. одговорности, историја на работа, колеги, дневна рутина - што актерите на закана ги користат за прилагодување на нападите (на пр., искористување на патните планови за да се воспостави кредибилитет или итност во кампања за пребарување). Администраторите на облак се посебни цели. Добивањето на нивните привилегии за пристап би им обезбедило на актерите на закана пристап и контрола врз вредни ресурси во облакот и можност за предизвикување широка штета. Фирмите треба да воспостават политики за социјални медиуми што ги опишуваат информациите што актерите на закана ги експлоатираат и да ги забранат таквите информации во објавите на социјалните медиуми. Редовно прегледувајте ги социјалните медиуми на администраторите - особено објавите на администраторите на облак - за усогласеност со политиката за социјални медиуми.
Акциски чекори:
- Развијте и спроведете детални политики за социјални медиуми специфични за пристапот, кои ги објаснуваат видовите информации што се – и не се – дозволени за објавување.
- Спроведувајте ревизии за да се осигурате дека се почитуваат прописите.
- Обезбедете обука за ризиците од споделување чувствителни професионални детали.
Проценка на правата за пристап до службата за помош - Правата на службата за помош можат да се менуваат со текот на времето, понекогаш давајќи им привилегии на сите административни конзоли, како што се протокот на пошта, безбедносните контроли итн. Ревизијата на правата за пристап на службата за помош обезбедува усогласеност со оперативните потреби, а воедно спречува неовластен пристап што би можел да го искористат заканувачки актери како Scattered Spider. Автоматизираните системи за управување го подобруваат надзорот.
Акциски чекори:
- Имплементирајте автоматизирани системи за континуирано следење и прилагодување на правата за пристап.
- Закажувајте редовни прегледи на пристапот за да се осигурате дека се усогласени со работните функции.
Следење на виртуелни машини во облачни средини – Имплементирајте алатки за следење за давање предупредувања за неовластени активности на виртуелни машини (VM), како што се сомнителни услуги, абнормално користење на ресурси и обиди за ескалација на привилегии, со протоколи за брзо изолирање и исклучување на сомнителни VM. Оваа можност за брз одговор е клучна за идентификување на сомнителни активности, спречување на потенцијални прекршувања и ублажување на заканите.
Акциски чекори:
- Направете список на дозволени активности.
- Воспоставете системи за следење и алармирање и побарајте празнини во нив.
- Воспоставете протоколи за брз одговор за неовластени активности.
- Елиминирајте ги непотребните RMM алатки и вклучете honeytokens околу употребата на RMM алатките за рано откривање и дефинирање на отпечатоци од прсти.
- Конфигурирајте ги прелистувачите и задачите за редовно бришење на постојаните колачиња.
- Минимизирајте го времето во кое веб-колачето е одржливо — Scattered Spider ги користи за да воспостави постојан пристап и ексфилтрација на податоци.
Преглед на безбедносните контроли на инфраструктурата на виртуелната работна површина - Осигурајте се дека средините со виртуелна работна инфраструктура (VDI) се обезбедени со MFA и континуирано следете ги активностите на корисниците.
Акциски чекори:
- Прегледајте го списокот на корисници на VDI за да се осигурате дека е ажуриран.
- Спроведување на МФА.
- Не дозволувајте личните уреди да имаат директен пристап до Office 365, Enterprise Google Workspace, корпоративни VPN мрежи итн.
- Потребен е MFA отпорен на фишинг, како што се YubiKeys, Windows Hello for Business итн. Не им верувајте на корисниците да одобруваат MFA барања или да даваат кодови.
- Доколку организацијата има VDI за да дозволи пристап од трети страни, осигурајте се дека тие VDI не можат да пристапат до безбедни школки (SSH) или протоколи за далечинско работење (RDP), ниту да стигнат до веб-страници што не се неопходни за корисникот да ја изврши својата работа.
- Спроведувајте редовни ревизии и следење во реално време на сите кориснички сесии.
- Потврдете дека нема MFA преку SMS во ниедна апликација, вклучувајќи ги и апликациите на добавувачите. СМС-базиран MFA може да донесе значителни ризици бидејќи:
-
- СМС пораките можат да бидат пресретнати бидејќи се нешифрирани
- Напаѓачите можат да го заобиколат MFA преку социјален инженеринг
- Заканувачките актери можат да добијат контрола врз телефонски број, да пресретнат СМС пораки и да добијат неовластен пристап преку замена на СИМ-картичка.
- Прекините можат да ги спречат корисниците да добиваат кодови за автентикација
Идентификувајте пристапни точки и блокирајте пристап со висок ризик – Многу организации мора да им дозволат на вработените, регулаторните агенции, добавувачите од трети страни и другите пристап до нивните дигитални инфраструктури. Заштитете ги сите влезни точки – особено оние со висок ризик – со контроли или блокади и претпоставете дека сите даватели на управувани услуги се компромитирани.
Акциски чекори:
- Не давајте на трети страни неограничен пристап до корпоративната мрежа.
- Заменете ги VPN мрежите од локација до локација со VDI користејќи MFA отпорен на фишинг и нулта доверба секогаш кога е можно.
- Идентификувајте и блокирајте новокреирани домени кои изгледаат како потенцијални фишинг страници (на пр., печатно пробивање на имиња на домени).
- Блокирајте ги сите извршни RAT датотеки да се извршуваат на управувани уреди.
- Блокирајте ги веб-страниците на сите познати комерцијални алатки за далечинска помош.
- Имплементирајте географско блокирање каде што е можно.
- Блокирајте ги комерцијалните VPN-мрежи што се поврзуваат со корпоративната VPN или VDI со услуга како ip2proxy или Spur.
- Блокирајте ги типовите уреди на VPN ако не ги користат претставниците за корисничка поддршка. (Противниците честопати користеле Android уред x86.)
Дозволи за ревизија доделени на човечки ресурси - Строгото усогласување на дозволите за човечки ресурси со оперативните потреби ги заштитува чувствителните податоци на вработените и финансиските податоци.
Акциски чекори:
- Извршете сеопфатна ревизија на дозволите за пристап до човечки ресурси.
- Прегледајте ги правата за пристап на добавувачот и провајдерот.
- Едуцирајте го персоналот за човечки ресурси за ризиците од сајбер безбедноста и правилното ракување со податоци.
Истражување на алатки за движење на податоци во SaaS апликации - Мониторингот и следењето на движењата на податоци во рамките на SaaS (Софтвер-како-услуга) системите (на пр., Salesforce или ServiceNow) е од клучно значење бидејќи SaaS апликациите често имаат (трети страни) Data Movement Utilities достапни за различни цели и можат да содржат чувствителни информации.
Акциски чекори:
- Интегрирајте го следењето на движењето на податоци од алатката во податоците од логовите.
- Поставете автоматски известувања и контроли за невообичаена активност на податоци.
Преглед на доверливи IP адреси ослободени од MFA - Организациите може да ја намалат ригорозноста на MFA во однос на барањата од доверлива мрежа, како што се VPN, канцелариска мрежа итн. Минимизирањето на овие MFA исклучоци ги зајакнува контролите за пристап до мрежата, што е клучен чекор во обезбедувањето на финансиски и чувствителни податоци.
Акциски чекори:
- Повторно евалуирајте ја и ажурирајте ја листата на доверливи IP адреси во околината.
- Заменете го ставањето на белата листа на статички IP адреси со динамички политики за условен пристап.
Препознајте ја заканата одвнатре што ја претставуваат претставниците за услуги на клиентите — Scattered Spider често добива почетен пристап до деловните системи преку измама на претставниците за услуги на клиентите - но исто така ги регрутира и нив. Редовно скенирајте за потенцијално злонамерни активности.
Акциски чекори:
- Проверете ја активноста на претставниците за услуги на клиентите за знаци на потенцијално компромитирање, како што се:
- Голем број на ресетирање на лозинки или прегледи на сметки за краток временски период
- Пристап до сметки на клиенти без усогласување на чекорите за верификација (на пр., внесување на ПИН на клиент, усогласување со ANI, итн.)
- „Жонглирање со акредитиви“, т.е. најавување во VPN под акредитиви различни од оние што се користат за пристап до алатките за корпоративна општествена одговорност (CSR).
- Пребарувајте ги логовите за поддршка преку разговор/е-пошта за обиди за регрутирање со користење на пребарувања низи што се однесуваат на вообичаени термини што се користат во понудите, како што се „Telegram“, „Wickr“ или „Get rich“.
- Имплементирајте временски ограничен пристап за претставниците за услуги на клиентите за акредитиви и VPN, и известувајте за какви било најавувања надвор од вообичаеното работно време на агентите.
Тактики и ублажувања на расфрлани пајаци
Следната табела ги вклучува анализите на експертите за сајбер безбедност на ISAC за разузнавачките информации споделени од илјадници организации-членки. Многу од тактиките беа откриени од ФБИ за време на истрагите на Scattered Spider, кои се наведени во заедничкиот Совет за сајбер безбедност од CISA и FBI Scattered SpiderУблажувањата на MITRE ATT&CK се извлечени од нејзината анализа на TTP, врз основа на набљудувањата на организацијата од реалниот свет.
ПОГЛЕДНЕТЕ ВО PDF-ОТ ПОГОРЕ.
