Тема поста: Тхреат Интеллигенце

Смернице за проактивну одбрану

Израдили су ISAC за финансијске услуге, ISAC за информационе технологије, ISAC за храну и пољопривреду, ISAC за здравство, ISAC за ваздухопловство, ISAC за аутомобилску индустрију, ISAC за малопродају и угоститељство, ISAC за поморски транспортни систем, ISAC за електричну индустрију и Национални савет ISAC-ова, уз доприносе партнера из приватног сектора из комуникација ISAC-а.

Preuzimanje

Текстуална верзија:

Анализа претње од расутих паука

Увод

Чланови Националног савета ISAC-а (NCI) са високим степеном поверења процењују да група претњи Scattered Spider представља стварну претњу и да њена способност да искористи људске рањивости путем социјалног инжењеринга чини групу значајним ризиком за организације.

Ова анализа детаљно приказује активност Расутог паука на основу његових уочених трговачких активности у секторима од маја 2025. године, пружајући:

🔹 Позадина о Scattered Spider-у како би фирме могле боље да процене своју површину претњи

🔹 Техничке процедуре и културне праксе за спречавање напада расутог паука

🔹 Анализа обавештајних података чланова Центра за размену и анализу информација (ISAC) и ФБИ-ја и одговарајућих MITRE ATT&CK® ублажавања

Препоручене мере су се показале ефикасним против Scattered Spider-а и сличних претњи, према стручној процени обавештајних података. Ублажавања укључују основне потребе FS-ISAC-а. основе сајбер технологије, усклађено са ТТП-овима (тактикама, техникама и процедурама) Расутог паука на основу познатих претњи.

Међутим, актери претњи попут Scattered Spider-а стално иновирају, тако да организације морају бити марљиве у континуираном праћењу својих процеса и идентитета како би тражиле нове експлоитете.

Ове налазе су заједнички израдили ISAC-ови за финансијске услуге, информационе технологије, храну и пољопривреду, здравство, ваздухопловство, аутомобилску индустрију, малопродају и угоститељство и поморски транспортни систем, као и NCI. NCI се састоји од 28 организација и осмишљен је да максимизира проток информација између критичних инфраструктура приватног сектора и владиних агенција.

Позадина и ТТП-ови

Scattered Spider је финансијски – а не идеолошки – мотивисана група младих независних оператера у Великој Британији, САД и Канади. Према истраживачима, Scattered Spider је део веће хакерске заједнице познате као The Community или The Com, која се организује путем онлајн платформи, укључујући групне четове на Discord-у и Telegram-у. Scattered Spider користи високо ефикасне технике социјалног инжењеринга и крађу акредитива како би добио приступ циљаним мрежама, а затим монетизује своје нападе кроз крађу података, изнуду или операције рансомвера против партнера. Група је позната по свом опсежном извиђању које идентификује личности за усвајање или запослене за циљање. Велики део успеха Scattered Spider-а приписује се његовој брзини и прилагодљивом циљању које захтева мало напора.

*****

Сидебар:

Претње се често придружују позивима за санацију и реаговање на инциденте и телеконференцијама, вероватно како би идентификовали како их безбедносни тимови траже и проактивно развијају нове путеве упада као одговор на одбрану жртве. То се понекад постиже креирањем нових идентитета у окружењу и често се подржава лажним профилима на друштвеним мрежама како би се спречили новокреирани идентитети. Саветодавно упозорење о сајбер безбедности: Расути паук – заједничко саветодавно мишљење Федералног истражног бироа (ФБИ) и Агенције за сајбер безбедност и безбедност инфраструктуре (ЦИСА)

*****

Активан од почетка 2022. године, Scattered Spider је првобитно примећен како циља телекомуникационе и пословне процесне (BPO) ентитете, вероватно као одскочну даску за операције социјалног инжењеринга ради добијања неовлашћеног приступа другим циљевима и њиховим заинтересованим странама. Од тада, група је повезана са преко 100 напада на више тржишних вертикала, али тежи да циља један сектор истовремено. Scattered Spider је познат по компромитовању Caesars Entertainment и MGM Resorts 2023. године и нападу на Twilio 2022. године, што је резултирало нападом на ланац снабдевања који је утицао на апликацију за размену порука Signal. Циљао је трговце на мало у САД и Великој Британији у априлу и мају 2025. године, а затим је преусмерио фокус на финансијски сектор, посебно осигуравајуће компаније, и сектор авијације.

1. Почетни приступ добијен путем:

   > Напади социјалног инжењеринга

   >Напади умора од мултифункционалних активности

2. Осваја администраторска права тако што:

   • Дампинг акредитива
   • Сачувани акредитиви и тајне

3. Упорност добијена:

>Заказани задаци

>Злонамерне услуге

>Креирање локалног корисника

>Механизми перзистентности у облаку

4. Избегавање одбране омогућено:

>Онемогућавање AV/EDR-а

>Измена Windows GPO-а

>Онемогућавање Дефендера, евидентирања или телеметрије

>Уклањање EDR драјвера

5. Бочно кретање путем:

>PsExec

>Удаљено управљање PowerShell-ом

>WMI

>Легитимне VPN или Citrix везе

Типична тактика је убеђивање агената ИТ службе за помоћ да изврше самостално ресетовање лозинки (SSPR) за циљане налоге. Технике Scattered Spider-а укључују употребу поруке услуге кратких порука (СМС) — тј. слање порука — и гласовни фишинг (smishing и vishing) за хватање акредитива за контролне табле за јединствено пријављивање (SSO), Microsoft Office 365/Azure, VPN-ове и edge уређаје.

Група је такође позната по отимању вишефакторске аутентификације (MFA) путем замене SIM картица (модула идентитета претплатника). Затим побеђује MFA путем замора од обавештења или убеђује агенте службе за помоћ да ресетују MFA метод циљаних налога.

Након успешног компромитовања корисничког налога, оперативци Scattered Spider-а региструју друге уређаје под тим налогом. Када могу да добију администраторске привилегије, креирају налоге које контролише нападач унутар окружења жртве. Затим, актер претње успоставља перзистентност за неовлашћени приступ окружењу жртве и гради редундантност како би спречио покушаје уклањања злонамерног софтвера или приступа.

Накнадне извиђачке активности укључују покушај откривања корпоративних платформи – укључујући Windows, Linux, Google Workspace, Microsoft Entra ID (раније Azure Active Directory), Microsoft 365, AWS и друге алате хостоване унутар cloud инфраструктуре – и латерално кретање, преузимање одговарајућих алата за извлачење осетљивих података.

*****

Сидебар:

Health-ISAC је добио обавештајне податке који повезују ботнет Amadey са нападима Scattered Spider. Ботнет Amadey су користили актери ransomware-а као што су BlackSuit, BlackBasta и Akira за убацивање програма за учитавање злонамерног софтвера у мреже жртава. Ботнет је избегао мере спровођења закона против платформи за злонамерни софтвер као услугу (MaaS), што му је омогућило да се развија од 2018. године.

*****

Ово дубоко разумевање изворне инфраструктуре жртве омогућава групи Scattered Spider да извршава злонамерне накнадне активности. Управо кроз ово дубоко разумевање – нпр. способност да извршава технике преживљавања од земље – група може да избегне стандардне методе откривања. Група претњи такође може да примени малвер који испушта злонамерне потписане драјвере дизајниране да прекину процесе повезане са безбедносним софтвером и избришу датотеке.

Scattered Spider користи недавно регистрована и веома убедљива имена фишинг домена која имитирају легитимне портале за пријаву, посебно Okta странице за аутентификацију. Ови домени имају кратак век трајања или време непрекидног рада, што отежава откривање.

Од 2023. године, примећено је да Scattered Spider користи пет различитих фишинг комплета, јер су се стратегије распоређивања групе развијале тако да укључују провајдере динамичког DNS-а. Поред тога, група је укључила тројанца за удаљени приступ (RAT) Spectre у свој ланац напада за распоређивање злонамерног софтвера на компромитованим системима како би добила трајни приступ. Овај злонамерни софтвер укључује механизме за даљинско деинсталирање и посредовање у везама са додатним серверима за команду и контролу (C2), што сугерише да група можда користи C2 инфраструктуру за спровођење акција након експлоатације на мрежама жртава.

*****

Сидебар:

Сцаттеред Спидер Савети за сајбер безбедност заједнички су израдили ФБИ, ЦИСА, Краљевска канадска коњичка полиција, Аустралијски центар за сајбер безбедност Аустралијске дирекције за сигнале, Аустралијска федерална полиција, Канадски центар за сајбер безбедност и Национални центар за сајбер безбедност Уједињеног Краљевства

*****

Препоруке

Следеће препоруке су се показале ефикасним за чланове ISAC-а. Многе су преузете из FS-ISAC-ових основе сајбер технологије, приступ заснован на ризику, одбрани у дубину, основним потребама сајбер безбедности, применљив на организације на било ком нивоу сајбер зрелости.

Користите процес верификације преко више канала — Ниједна организација не би требало да се ослања на један канал комуникације за промене лозинки запослених или захтеве за ресетовање вишеструких личних аутентификација (MFA). Неким фирмама може бити корисно коришћење унапред одређене листе питања на која само запослени може да одговори како би покренули ресетовање лозинки и MFA. ИТ запослени би увек требало да се осећају овлашћено да оспоре захтев за верификацију било ког другог запосленог.

Кораци акције:

• ИТ одељење треба да користи вишеканалну верификацију, укључујући:
• Верификација захтева поднетих путем е-поште, СМС-а или телефона уз повратни позив на унапред регистровани и познати поуздани број телефона
• Статички ПИН-ови на физичкој значки
• Визуелна валидација
• Користите гласовну лозинку познату само запосленима или скуп одговора на питања која се не могу лако погодити, нпр. „Како је девојачко презиме ваше мајке? Када сте почели да радите? Која је ознака вашег пословног лаптопа?“

Захтевајте да два запослена одобре одређене врсте захтева - као што су велики финансијски трансфери - или захтеве запослених са високим нивоом привилегија.

• Контактирајте менаџера запосленог када запослени захтева ресетовање и акредитива и вишеструке овлашћене фацетације (MFA)..
• Негујте културу у којој се од ИТ особља очекује и има овлашћења да преиспитује све необичне или веома осетљиве захтеве, чак и од руководилаца, без страха од последица.

Фокус на тактике социјалног инжењеринга — Scattered Spider се ослања на експлоатације социјалног инжењеринга и веома је креативан у коришћењу фишинга, вишинга и смишинга. Група претњи често усађује осећај хитности у своје мамце и користи страхове, емпатију и поштовање према ауторитету жртава. Укључите те ТТП-ове у симулације и тестирајте реакције запослених на њих.

Кораци акције:

• Спровести континуирану, обавезну обуку о безбедности и симулације фишинга са уобичајеним и актуелним мамацима.
• Прилагодите обуку улози — ИТ служби за помоћ, представницима корисничке службе, особљу људских ресурса и руководиоцима може бити потребна детаљнија и специфичнија обука о тактикама претњи и актуелним кампањама.
• Обучите представнике корисничке службе о процедурама службе за помоћ. На пример, појачајте да њихова служба за помоћ никада неће тражити од запосленог да инсталира софтвер за даљинску помоћ или заобиђе било какву безбедносну контролу.
• Користите најмање привилегије како би запослени, посебно представници корисничке службе, захтевали додатну верификацију од крајњег корисника пре него што им омогуће већи приступ.

Прегледајте профиле администратора на друштвеним мрежама, посебно администратора облака Профили и објаве администратора на друштвеним мрежама могу ненамерно приказивати информације везане за посао – тј. одговорности, радну историју, колеге, дневну рутину – које актери претњи користе за прилагођавање напада (нпр. коришћење путних планова за успостављање кредибилитета или хитности у кампањи претњи). Администратори облака су посебне мете. Добијање њихових привилегија приступа би актерима претњи омогућило приступ и контролу над вредним ресурсима облака и могућност да изазову штету велике разлике. Фирме би требало да уведу политике друштвених медија које описују информације које актери претњи користе и забрањују такве информације у објавама на друштвеним мрежама. Редовно прегледајте друштвене медије администратора – посебно објаве администратора облака – ради усклађености са политиком друштвених медија.

Кораци акције:

• Развијте и спроводите детаљне, специфичне политике друштвених медија које објашњавају врсте информација које јесу – а које нису – дозвољене за објављивање.
• Спровести ревизије како би се осигурала усклађеност.
• Обезбедите обуку о ризицима дељења осетљивих професионалних података.

Процена права приступа служби за помоћ - Права службе за помоћ могу се временом мењати, понекад дајући привилегије свим администраторским конзолама, као што су проток поште, безбедносне контроле итд. Ревизија права приступа служби за помоћ осигурава усклађеност са оперативним потребама, истовремено спречавајући неовлашћени приступ који би могли да искористе претње попут Scattered Spider-а. Аутоматизовани системи управљања побољшавају надзор.

Кораци акције:

• Имплементирајте аутоматизоване системе за континуирано праћење и подешавање права приступа.
• Закажите редовне прегледе приступа како бисте осигурали усклађеност са радним функцијама.

Праћење виртуелних машина у облачним окружењима – Имплементирајте алате за праћење како бисте пружали упозорења о неовлашћеним активностима виртуелних машина (ВМ), као што су сумњиве услуге, абнормално коришћење ресурса и покушаји ескалације привилегија, са протоколима за брзо изоловање и искључивање сумњивих ВМ. Ова могућност брзог реаговања је кључна за идентификовање сумњивих активности, спречавање потенцијалних пропуста и ублажавање претњи.

Кораци акције:

• Направите листу дозвољених активности.
• Примените системе за праћење и упозоравање и потражите недостатке у њима.
• Успоставити протоколе за брзи одговор на неовлашћене активности.
• Елиминишите непотребне RMM алате и укључите honeytoken-ове око коришћења RMM алата за рано откривање и дефинисање отисака прстију.
• Конфигуришите прегледаче и задатке да редовно бришу трајне колачиће.
• Минимизирајте време трајања веб колачића — Scattered Spider их користи за успостављање трајног приступа и крађу података.

Преглед безбедносних контрола инфраструктуре виртуелних десктопа - Осигурајте да су окружења инфраструктуре виртуелних десктопа (VDI) безбедна помоћу MFA и континуирано пратите активности корисника.

Кораци акције:

• Прегледајте листу VDI корисника да бисте били сигурни да је ажурирана.
• Спровести вишестрани споразум о финансијској помоћи (MFA).
• Не дозвољавајте личним уређајима директан приступ Office 365, Enterprise Google Workspace-у, корпоративним VPN-овима итд.
• Захтевајте вишеструку фалсификовану апликацију отпорну на фишинг, као што су YubiKeys, Windows Hello for Business итд. Не верујте корисницима да ће одобравати захтеве за вишеструку фалсификовану апликацију или давати кодове.
• Ако организација има VDI који омогућава приступ трећим странама, осигурајте да ти VDI-ји не могу да приступе SSH (Secure Shells) или RDP (Remote Desk Protocols), или да не могу да дођу до веб локација које нису неопходне кориснику за обављање посла.
• Спроводите редовне ревизије и праћење свих корисничких сесија у реалном времену.
• Потврдите да нема вишеструких фајл порука путем СМС-а ни у једној апликацији, укључујући апликације добављача. МФА заснована на СМС-у може представљати значајне ризике јер:
  • • СМС поруке могу бити пресретнуте јер нису шифроване
    • Нападачи могу заобићи вишеструку офтабилност (MFA) путем социјалног инжењеринга
    • Претње могу да преузму контролу над телефонским бројем, пресретну СМС поруке и добију неовлашћени приступ путем замене СИМ картице
    • Прекиди могу спречити кориснике да примају кодове за аутентификацију

Идентификујте приступне тачке и блокирајте приступ високог ризика – Многе организације морају да дозволе запосленима, регулаторним агенцијама, добављачима трећих страна и другима приступ својој дигиталној инфраструктури. Заштитите све улазне тачке – посебно оне високог ризика – контролама или блокадама и претпоставите да су сви добављачи управљаних услуга угрожени.

Кораци акције:

• Не дајте трећим лицима неограничен приступ корпоративној мрежи.
• Замените VPN-ове типа „site-to-site“ са VDI-јима користећи MFA отпорну на фишинг и принцип нултог поверења где год је то могуће.
• Идентификујте и блокирајте новокреиране домене који изгледају као потенцијалне фишинг странице (нпр. погрешно написана имена домена).
• Блокирајте покретање свих RAT извршних датотека на управљаним уређајима.
• Блокирајте веб странице свих познатих комерцијалних алата за даљинску помоћ.
• Примените географско блокирање где год је то могуће.
• Блокирајте комерцијалне VPN-ове који се повезују са корпоративним VPN-ом или VDI-јем помоћу услуге као што су ip2proxy или Spur.
• Блокирајте типове уређаја на VPN-у ако их не користе представници корисничке службе. (Противници су често користили Android уређаје x86.)

Дозволе за ревизију дате одељењу за људске ресурсе - Строго усклађивање дозвола за људске ресурсе са оперативним потребама штити осетљиве податке о запосленима и финансије.

Кораци акције:

• Извршите свеобухватну ревизију дозвола за приступ ХР-у.
• Прегледајте права приступа добављача и провајдера.
• Образујте особље за људске ресурсе о ризицима сајбер безбедности и правилном руковању подацима.

Услужни програми за истраживање преноса података у SaaS апликацијама - Праћење и надгледање кретања података унутар SaaS (софтвер као услуга) система (нпр. Salesforce или ServiceNow) је кључно јер SaaS апликације често имају (треће стране) услужне програме за кретање података доступне за различите сврхе и могу садржати осетљиве информације.

Кораци акције:

• Интегришите праћење кретања података у лог податке.
• Подесите аутоматска упозорења и контроле за неуобичајене активности података.

Прегледајте поуздане IP адресе изузете од MFA - Организације могу смањити ригорозност вишеструке офсетне провере (MFA) у вези са захтевима из поуздане мреже, као што је VPN, канцеларијска мрежа итд. Минимизирање ових изузетака MFA јача контроле приступа мрежи, што је витални корак у обезбеђивању финансијских и осетљивих података.

Кораци акције:

• Поново процените и ажурирајте листу поузданих IP адреса у окружењу.
• Замените статичко стављање на белу листу IP адреса динамичким политикама условног приступа.

Препознајте инсајдерску претњу коју представљају представници корисничке службе — Scattered Spider често добија почетни приступ пословним системима преваром представника корисничке службе – али их и регрутује. Редовно скенирајте у потрази за потенцијално злонамерним активностима.

Кораци акције:

• Проверите активности представника корисничке службе у потрази за знацима потенцијалног угрожавања, као што су:
  • Велики број ресетовања лозинки или прегледа налога у кратком временском периоду
  • Приступ корисничким налозима без подударања корака верификације (нпр. унос ПИН-а клијента, подударање са ANI-јем итд.)
  • „Жонглирање акредитивима“, тј. пријављивање на VPN под акредитивима који се разликују од оних који се користе за приступ CSR алатима
• Претражите дневнике текстуалне подршке за ћаскање/е-пошту за покушаје регрутовања користећи претраге низова који се односе на уобичајене термине који се користе у позивима на огласе, као што су „Telegram“, „Wickr“ или „Get rich“.
• Имплементирајте временски ограничен приступ за представнике корисничке службе за акредитиве и VPN, и упозорите на сва пријављивања ван уобичајеног радног времена агената.

Тактике и ублажавања расутих паука

Следећа табела приказује анализу обавештајних података које су поделиле хиљаде организација чланица коју су спровели стручњаци за сајбер безбедност ISAC-а. Многе тактике је открио ФБИ током истрага о пројекту „Распршени паук“, а које су наведене у заједничком извештају. Саветодавно упозорење CISA и FBI о сајбер безбедности „Scattered Spider“Мере за ублажавање последица MITRE ATT&CK су изведене из њихове анализе ТТП-ова, на основу запажања организације из стварног света.

ПОГЛЕДАЈТЕ У ПДФ-у ГОРЕ.