פּאָסטן טעמע: סאַקאָנע ינטעלליגענסע

אנווייזונגען פֿאַר פּראָאַקטיווע פֿאַרטיידיקונג

פּראָדוצירט דורך פינאַנציעלע סערוויסעס ISAC, אינפֿאָרמאַציע טעכנאָלאָגיע ISAC, עסן און אַגריקולטור ISAC, געזונט ISAC, אַוויאַציע ISAC, אויטאָמאָטיוו ISAC, לאַכאָדימ און האָספּיטאַליטי ISAC, די מאַריטימע טראַנספּאָרטאַציע סיסטעם ISAC, עלעקטריע ISAC, און די נאַציאָנאַלע קאָונסיל פון ISACs, מיט בייַשטייַער פון קאָמוניקאַציע ISAC פּריוואַטע סעקטאָר פּאַרטנערס.

דאַונלאָוד

טעקסט ווערסיע:

צעוואָרפענע שפּין סאַקאָנע אַנאַליז

הקדמה

מיטגלידער פון דעם נאציאנאלן ראט פון ISACs (NCI) אפשאצן מיט הויכער בטחון אז די סכנה אקטאר גרופע Scattered Spider פארשטעלט אן עכטע סכנה, און אז איר מעגלעכקייט צו אויסנוצן מענטשלעכע שוואכקייטן דורך סאציאלע אינזשעניריע מאכט די גרופע א באדייטנדיקן ריזיקע פאר ארגאניזאציעס.

די אנאליז דעטאלירט די טעטיקייט פון Scattered Spider באזירט אויף איר באאבאכטעטע האנדל-קראפט איבער סעקטארן פון מאי 2025, צושטעלנדיג:

🔹 הינטערגרונט אויף צעשפּרייטע שפּין אַזוי אַז פירמעס קענען בעסער אָפּשאַצן זייער סאַקאָנע ייבערפלאַך

🔹 טעכנישע פּראָצעדורן און קולטורעלע פּראַקטיקעס צו שטערן צעוואָרפענע שפּין אַטאַקעס

🔹 אנאליז פון אינפארמאציע טיילן און אנאליז צענטער (ISAC) מיטגליד און FBI אינטעליגענץ און קארעספאנדירנדע MITRE ATT&CK® מיטיגיישאַנז

די רעקאָמענדירטע מיטלען האָבן זיך אַרויסגעוויזן ווי עפֿעקטיוו קעגן "Scattered Spider" און ענלעכע געפֿאַר־אַקטיאָרן, לויט אַן עקספּערט־אָפּשאַצונג פֿון אינטעליגענץ. די מיטלען נעמען אַרײַן די גרונט־באַדערפֿנישן פֿון FS-ISAC. סייבער יסודות, צוגעפאסט צו צעשפּרייטע שפּין TTPs (טאַקטיק, טעקניקס און פּראָצעדורן) באַזירט אויף באַקאַנטע סכנות.

אבער, סכנה אקטארן ווי Scattered Spider זענען כסדר אינוואטירנדיק, ממילא מוזן ארגאניזאציעס זיין פלייסיק אין כסדר מאָניטאָרירן זייערע פּראָצעסן און אידענטיטעטן צו זוכן נייע עקספּלויטן.

די רעזולטאַטן זענען געשאפן געוואָרן צוזאַמען דורך די פינאַנציעלע סערוויסעס, אינפֿאָרמאַציע טעכנאָלאָגיע, עסן און לאַנדווירטשאַפט, געזונט, אַוויאַציע, אויטאָמאָטיוו, לאַכאָדימ און האָספּיטאַליטי, און מאַריטימע טראַנספּאָרטאַציע סיסטעם ISACs, און די NCI. די NCI באַשטייט פון 28 אָרגאַניזאַציעס און איז דיזיינד צו מאַקסאַמיזירן אינפֿאָרמאַציע פלוס אַריבער פּריוואַט סעקטאָר קריטישע אינפראַסטרוקטורן און רעגירונג אַגענטורן.

הינטערגרונט און TTPs

Scattered Spider איז א פינאנציעל – אנשטאט אידעאלאגיש – מאטיווירטע גרופע פון יונגע אומאפהענגיקע אפעראטארן אין די פאראייניגטע קעניגרייך, די פאראייניגטע שטאטן, און קאנאדע. לויט פארשער, איז Scattered Spider טייל פון א גרעסערע העקינג קאמיוניטי באקאנט אלס The Community אדער The Com, וואס ארגאניזירט זיך דורך אנליין פלאטפארמעס, אריינגערעכנט Discord און Telegram גרופע טשעטס. Scattered Spider ניצט העכסט עפעקטיווע סאציאלע אינזשעניריע טעכניקן און קרעדענשעל גנייווע צו באקומען אריינגאנג צו ציל נעטוואורקס, און דערנאך מאנעטיזירט זיינע אטאקעס דורך דאטן גנייווע, אויספּרעסונג, אדער אפילעיט ראַנסאָמווער אפעראציעס. די גרופע איז באקאנט פאר איר ברייטע אויספארשונג וואס אידענטיפיצירט פערזאנען צו אדאפטירן אדער ארבייטער צו צילן. א גרויס טייל פון Scattered Spider'ס הצלחה ווערט צוגעשריבן צו איר שנעלקייט און נידעריק-מי, אדאפטירבארע ציל-מאס.

*****

סיידבאַר:

די סכּנה־אַקטיאָרן נעמען זיך אָפט אָן אין אינצידענט־רעמעדיאַציע און ענטפֿער־רופן און טעלעקאָנפערענצן, מסתּמא צו ידענטיפֿיצירן ווי זיכערהייט־מאַנשאַפֿטן יאָגן זיי און פּראָאַקטיוו אַנטוויקלען נייע וועגן פֿון אײַנדרינגען אין ענטפֿער צו קרבנות־פֿאַרטיידיקונג. דאָס ווערט מאַנטשמאָל דערגרייכט דורך שאַפֿן נייע אידענטיטעטן אין דער סבֿיבֿה און ווערט אָפֿט אויפֿגעהאַלטן מיט פֿאַלשע סאָציאַלע־מעדיע־פּראָפֿילן צו שטיצן ניי־געשאַפענע אידענטיטעטן. סייבערזיכערהייט עצה: צעוואָרפענע שפּין – א געמיינזאמע פעדעראלע ביורא פון אויספארשונג (FBI) און סייבערזיכערהייט און אינפראַסטרוקטור זיכערהייט אגענטור (CISA) עצה

*****

אַקטיוו זינט פרי 2022, איז סקאַטערד ספּיידער ערשט באמערקט געוואָרן צילנדיק טעלעקאָמוניקאַציע און ביזנעס פּראָצעס אַוטסאָרסינג (BPO) ענטיטיז, מסתּמא ווי אַ שפּרונגברעט פֿאַר סאציאלע אינזשעניריע אָפּעראַציעס צו באַקומען אַנאָטערייזד אַקסעס צו אנדערע צילן און זייערע סטייקהאָולדערז. זינט דעמאָלט, איז די גרופּע פארבונדן מיט איבער 100 אַטאַקעס אין קייפל מאַרק ווערטיקאַלז, אָבער טענד צו צילן איין סעקטאָר אין אַ צייט. סקאַטערד ספּיידער איז באַרימט פֿאַר די 2023 קאָמפּראָמיס פון Caesars Entertainment און MGM Resorts און די 2022 אַטאַק אויף טוויליאָ, וואָס האָט רעזולטירט אין אַ סאַפּליי טשיין אַטאַק וואָס האָט אַפעקטירט די סיגנאַל מעסעדזשינג אַפּ. עס האָט געצילט יו. עס. און וק ריטיילערז אין אַפּריל און מאי 2025, און דערנאָך געביטן זיין פאָקוס צו די פינאַנציעל סעקטאָר, ספּעציעל פאַרזיכערונג פירמעס, און די אַוויאַציע סעקטאָר.

1. ערשטע צוטריט באקומען דורך:

   סאציאלע אינזשעניריע אטאקעס

   >MFA מידקייט אטאקעס

2. כאַפּט אַדמין פּריווילעגיעס דורך:

   • קראַדענטשאַל דאַמפּינג
   • געהיטענע קרעדענשאַלז און סודות

3. פּערסיסטענס באקומען דורך:

>געפלאַנטע אויפגאַבן

> בייזוויליקע סערוויסעס

>לאקאלע באַניצער שאַפונג

>וואָלקן פּערסיסטענס מעקאַניזמען

4. פארטיידיקונג אויסמיידונג ערמעגליכט דורך:

>דיאַקטיווירן AV/EDR

ענדערן ווינדאָוס GPOs

>דיסעיבלינג דיפענדער, לאָגינג, אדער טעלעמעטרי

אַראָפּנעמען EDR דרייווערס

5. לאַטעראַל באַוועגונג דורך:

>פּסעקסעק

>פּאַוערשעל רימאָוטינג

>WMI

>לעגיטימע VPN אדער סיטריקס קאנעקשאנס

א טיפישע טאקטיק איז צו איבערצייגן איי-טי העלפדעסק אגענטן צו דורכפירן זעלבסט-סערוויס פאסווארט ריסעטס (SSPRs) פאר געצילטע אקאונטס. סקאַטערד ספּיידער'ס טעכניקן שליסן איין די נוצן פון קורצע מעסעדזש סערוויס (SMS) מעסעדזשעס — למשל, טעקסטן — און שטימע פישינג (סמישינג און ווישינג) צו כאַפּן קרעדענשעלס פֿאַר איין סיין-אן (SSO) דאַשבאָרדז, מייקראָסאָפֿט אָפֿיס 365/אַזור, VPN'ס און עדזש דעוויסעס.

די גרופּע איז אויך באַקאַנט צו כאַפּן מולטי-פאַקטאָר אויטענטיפֿיקאַציע (MFA) דורך סאַבסקרייבער אידענטיטעט מאָדול (SIM)-סוואַפּינג. דערנאָך באַזיגט עס MFA דורך נאָטיפיקאַציע מידקייט אָדער איבערצייגט העלפּדעסק אַגענטן צו ריסעט די MFA מעטאָדע פון געצילטע אַקאַונטס.

נאכדעם וואס זיי האבן מצליח געווען צו קאמפראמיטירן א באניצער'ס אקאונט, רעגיסטרירן די סקאַטערד ספּיידער אפעראטיוון אנדערע דעווייסעס אונטער דעם אקאונט. ווען עס קען באקומען אדמיניסטראטיווע פריווילעגיעס, שאפט עס אטאקירער-קאנטראלירטע אקאונטס אין דער קרבן'ס סביבה. דערנאך שטעלט דער סכנה אקטאר אויף א אנהאלטונגס-פעאיקייט פאר אומאויטאריזירטן צוטריט צו דער קרבן'ס סביבה און בויט אריין רעדונדאנץ צו פארמיידן פארזוכן צו אראפנעמען מאלווער אדער צוטריט.

ווייטערדיקע אויספארשונג טעטיקייטן שליסן איין פרובירן צו אנטדעקן קארפאראטיווע פלאטפארמעס – אריינגערעכנט ווינדאוס, לינוקס, גוגל ווארקספייס, מייקראסאפט ענטרא איי-די (פריער אזשור אקטיוו דירעקטארי), מייקראסאפט 365, עי-עס, און אנדערע געצייג וואס זענען געהאוסטעט אין קלאָוד אינפראַסטרוקטור – און זיך באוועגן זייט-איבער, אראפקאפירן די צוגעפאסטע געצייג צו ארויסנעמען סענסיטיווע דאטן.

*****

סיידבאַר:

העלט-ISAC האט באקומען אינפארמאציע וואס פארבינדט דעם אמאדעי באטנעט מיט סקעטערד ספיידער אטאקעס. דער אמאדעי באטנעט איז גענוצט געווארן דורך ראַנסאָמווער אַקטיאָרן ווי BlackSuit, BlackBasta, און Akira צו ווארפן מאַלווער לאָודערס אין קרבן נעטוואָרקס. דער באטנעט האט אויסגעמיטן געזעץ דורכפירער אקציע קעגן מאַלווער-ווי-אַ-סערוויס (MaaS) פּלאַטפאָרמעס, און דאס האט אים דערמעגלעכט צו עוואַלוציאָנירן זינט 2018.

*****

די טיפע פארשטענדעניש פון די קרבן'ס אייגענע אינפראַסטרוקטור ערמעגליכט סקאַטערד ספּיידער צו דורכפירן שלעכטע נאכפאלגנדיקע אקטיוויטעטן. דורך דעם טיפן פארשטענדעניש – למשל, איר מעגלעכקייט צו דורכפירן לעבן-פון-דער-לאנד טעכניקן – קען די גרופע אויסמיידן סטאנדארט דעטעקציע מעטאדן. די סכנה גרופע קען אויך דיפּלויען מאַלווער וואָס לאָזט אַראָפּ בייזוויליגע אונטערגעשריבענע דרייווערס וואָס זענען דיזיינד צו ענדיקן פּראָצעסן פארבונדן מיט זיכערהייט ווייכווארג און אויסמעקן טעקעס.

Scattered Spider ניצט לעצטנס רעגיסטרירטע און העכסט איבערצייגנדיקע פישינג דאָמעין נעמען וואָס נאָכמאַכן לעגיטימע לאָגין פּאָרטאַלן, ספּעציעל אָקטאַ אָטענטאַקיישאַן בלעטער. די דאָמעינען האָבן אַ קורצע לעבנס-צייט אָדער אַפּטיים, וואָס מאַכט דעטעקשאַן שווער.

זינט 2023, איז Scattered Spider באמערקט געווארן מיט פינף באזונדערע פישינג קיטס, וויבאלד די גרופע'ס דיפּלוימאַנט סטראַטעגיעס האבן זיך אנטוויקלט צו ארייננעמען דינאמישע DNS פראוויידערס. דערצו, האט די גרופע אריינגענומען דעם Spectre ווייט-צוטריט טראָדזשאַן (RAT) אין איר אטאקע קייט פאר מאלווער דיפּלוימאַנט אויף קאמפּראָמיטירטע סיסטעמען צו באַקומען אנהאלטנדיקן צוטריט. די מאלווער כולל מעכאניזמען פאר ווייט-אויסמעקן און בראָקערינג קאַנעקשאַנז צו נאָך קאָמאַנד און קאָנטראָל (C2) סערווערס, וואָס סאַגדזשעסטירט אז די גרופע קען נוצן C2 אינפראַסטרוקטור צו דורכפירן פּאָסט-עקספּלויטאַציע אַקשאַנז אויף קרבן נעטוואָרקס.

*****

סיידבאַר:

צעוואָרפענע שפּין סייבערזיכערהייט עצה פּראָדוצירט צוזאַמען דורך די FBI, CISA, Royal Canadian Mounted Police, Australian Signals Directorate'ס Australian Cyber Security Centre, Australian Federal Police, Canadian Centre for Cyber Security, און United Kingdom's National Cyber Security Centre

*****

רעקאַמאַנדיישאַנז

די פאלגענדע רעקאמענדאציעס האבן זיך ארויסגעוויזן עפעקטיוו פאר ISAC מיטגלידער. פילע זענען גענומען פון FS-ISAC'ס סייבער יסודות, א ריזיקאָ-באזירטער, טיפער פארטיידיגונגס-צוגאנג פון גרונטלעכע סייבער-זיכערהייט נויטווענדיקייטן וואָס זענען אָנווענדלעך פֿאַר אָרגאַניזאַציעס אויף יעדן מדרגה פון סייבער-מאַטוריטעט.

ניצן אַ מולטי-קאַנאַל וועריפיקאַציע פּראָצעס — קיין אָרגאַניזאַציע זאָל זיך נישט פֿאַרלאָזן אויף איין קאָמוניקאַציע קאַנאַל פֿאַר אַרבעטערס פּאַראָל ענדערונגען אָדער MFA-ריסעט ריקוועסץ. עטלעכע פֿירמעס קענען נוצן פֿון ניצן אַ פֿאָרבאַשטימטע רשימה פֿון פֿראַגעס וואָס נאָר דער אַרבעטער קען ענטפֿערן צו אָנהייבן פּאַראָל און MFA ריסעטס. און IT אַרבעטער זאָלן שטענדיק פֿילן באַרעכטיקט צו אַרויסרופן יעדן אַנדערן אַרבעטערס וועריפֿיקאַציע בקשה.

קאַמף סטעפּס:

• די איי-טי דעפארטמענט זאל נוצן מולטי-קאַנאַל וועריפיקאַציע, אַרייַנגערעכנט:
• באַשטעטיקונג פון בקשות געמאַכט דורך אימעיל, טעקסט, אָדער טעלעפאָן מיט אַ צוריקרוף אויף אַ פאַר-רעגיסטרירט און באַקאַנט-גוט טעלעפאָן נומער
• סטאַטישע פּינס אויף אַ פיזישן בעדזש
• וויזועלע וואַלידאַציע
• ניצט אַ וואָקאַל פּאַראָל וואָס איז נאָר באַקאַנט צו עמפּלוייז, אָדער אַ סכום ענטפֿערס צו פֿראַגעס וואָס זענען נישט גרינג צו טרעפֿן, למשל, "וואָס איז דיין מאַמעס מיידל נאָמען? וואָס איז געווען דיין אָנהייב דאַטע פון באַשעפטיקונג? וואָס איז די אַסעט טאַג פון דיין אַרבעט לאַפּטאַפּ?"

פארלאנגען פון צוויי ארבייטער צו באשטעטיגן געוויסע טיפן פארלאנגען — ווי גרויסע פינאנציעלע איבערטראגונגען — אדער פארלאנגען פון ארבייטער מיט א הויכן לעוועל פון פריווילעגיעס.

• קאָנטאַקטירן דעם אָנגעשטעלטן'ס פאַרוואַלטער ווען דער אָנגעשטעלטער בעט אַ ריסעט פון ביידע קרעדענשאַלז און MFA.
• פאָסטערט אַ קולטור וואו IT שטאב ווערט ערוואַרטעט און באַרעכטיקט צו פרעגן יעדע ומגעוויינטלעכע אָדער העכסט סענסיטיווע בקשה, אפילו פון עקסעקוטיוון, אָן מורא פֿאַר קאָנסעקווענצן.

פאָקוס אויף סאציאלע אינזשעניריע טאַקטיקן — סקאַטערד ספּיידער פֿאַרלאָזט זיך אויף סאָציאַלע אינזשעניריע עקספּלויטן און איז זייער קרעאַטיוו אין זיין נוצן פֿון פֿישינג, ווישינג און סמישינג. די סאַקאָנע גרופּע פֿלאַנצט אָפֿט אַ געפֿיל פֿון דרינגלעכקייט אין אירע פֿאַרפֿירענישן און נוצט אויס די קרבנות'ס מורא, עמפּאַטיע און רעספּעקט פֿאַר אויטאָריטעט. נעמט אַרײַן די TTP'ס אין סימולאַציעס און פּרובירט די עמפּלוייז' רעאַקציעס צו זיי.

קאַמף סטעפּס:

• ימפּלעמענטירן אָנגייענדיקע, מאַנדאַטאָרישע זיכערהייט וויסיקייַט טריינינג און פישינג סימיאַליישאַנז מיט געוויינטלעכע און איצטיקע לאָקן.
• צופּאַסן טרענירונג צו דער ראָלע — IT העלפֿדעסק, קונה סערוויס פארשטייערס, HR שטאב, און C-Suite עקסעקוטיוון קענען דאַרפן מער דעטאַלירטע און ספּעציפֿישע טרענירונג וועגן סאַקאָנע אַקטיאָר טאַקטיקס און קראַנט קאַמפּיינז.
• טרענירן קונה סערוויס פארשטייער וועגן העלפדעסק פראצעדורן. למשל, פארשטארקן אז זייער העלפדעסק וועט קיינמאל נישט בעטן אן ארבייטער צו אינסטאלירן ווייט-הילף ווייכווארג אדער בייגיין קיין זיכערהייט קאנטראל.
• ניצט די קלענסטע פריווילעגיע כדי ארבייטער, ספעציעל קאסטומער סערוויס פארשטייערס, זאלן פארלאנגען נאָך וועריפיקאציע פון די ענד-באַניצער איידער זיי געבן גרעסערע צוטריט.

איבערקוקן סאציאלע מעדיע פראפיילן פון אדמינס, ספעציעל קלאָוד אדמינס אַדמיניסטראַטאָרן'ס סאָציאַלע מידיאַ פּראָופיילן און פּאָוסטינגס קענען אַומבאַוואוסטזיניק ווייַזן אַרבעט-פֿאַרבונדענע אינפֿאָרמאַציע – למשל, פֿאַראַנטוואָרטלעכקייטן, אַרבעט געשיכטע, קאָלעגעס, טעגלעכע רוטין – וואָס סאַקאָנע אַקטיאָרן נוצן צו פּאַסיק אַטאַקעס (למשל, נוצן רייזע איטינערעריז צו באַשטעטיקן קרעדיביליטי אָדער דרינגלעכקייט אין אַ "פישינג" קאַמפּיין). וואָלקן אַדמיניסטראַטאָרן זענען באַזונדערע צילן. באַקומען זייערע אַקסעס פּריווילעגיעס וואָלט געבן סאַקאָנע אַקטיאָרן אַקסעס צו און קאָנטראָל איבער ווערטפולע וואָלקן רעסורסן און די מעגלעכקייט צו פאַרשאַפן ברייטן שאָדן. פירמעס זאָלן איינפירן סאָציאַלע מידיאַ פּאָליטיק וואָס באַשרייבן די אינפֿאָרמאַציע וואָס סאַקאָנע אַקטיאָרן נוצן אויס און פאַרווערן אַזאַ אינפֿאָרמאַציע אין סאָציאַלע מידיאַ פּאָוסטינגס. רעגולער איבערקוקן אַדמיניסטראַטאָרן'ס סאָציאַלע מידיאַ – ספּעציעל וואָלקן אַדמיניסטראַטאָרן' פּאָוסטינגס – צו זען צי זיי שטימען מיט די סאָציאַלע מידיאַ פּאָליטיק.

קאַמף סטעפּס:

• אַנטוויקלען און דורכפירן דעטאַלירטע, צוטריט-ספּעציפֿישע סאָציאַלע מידיאַ פּאָליטיקס וואָס דערקלערן די טיפּן אינפֿאָרמאַציע וואָס זענען — און זענען נישט — ערלויבט צו פּאָסטן.
• אָנפירן אַדאַץ צו ענשור העסקעם.
• צושטעלן טרענירונג וועגן די ריזיקעס פון טיילן סענסיטיווע פראפעסיאנעלע פרטים.

אָפּשאַצן הילף־דעסק צוטריט רעכטן - העלפֿדעסק רעכטן קענען זיך טוישן מיט דער צייט, און מאנchmal געבן זיי פריווילעגיעס צו אלע אדמין קאנסאלן, ווי למשל אימעיל פלוס, זיכערהייט קאנטראלן, א.א.וו. אויספארשן העלפֿדעסק צוטריט רעכטן זיכערט אז זיי זענען אין איינקלאנג מיט די אפעראציאנעלע באדערפענישן, בשעת'ן פארמיידן אומאויטאריזירטע צוטריט וואס קען אויסגענוצט ווערן דורך סכנה אקטיארן ווי סקעטערד ספיידער. אויטאמאטישע מענעדזשמענט סיסטעמען פארבעסערן אויפזיכט.

קאַמף סטעפּס:

• אימפּלעמענטירן אָטאַמייטיד סיסטעמען פֿאַר קעסיידערדיק מאָניטאָרינג און אַדזשאַסטמאַנט פון אַקסעס רעכט.
• פּלאַנירן רעגולערע צוטריט איבערבליקן צו ענשור אַז די אַרבעט איז אין לויט מיט די פאַנגקציעס.

מאָניטאָרירן ווירטואַל מאַשינען אין וואָלקן סביבות – אימפּלעמענטירן מאָניטאָרינג מכשירים צו צושטעלן וואָרענונגען וועגן נישט-אָטעריזירטע ווירטואַל מאַשין (VM) אַקטיוויטעטן ווי פֿאַרדעכטיקע סערוויסעס, אַבנאָרמאַלע רעסורסן נוצן, און פּריווילעגיע עסקאַלאַציע פּרוּוון, מיט פּראָטאָקאָלן צו איזאָלירן און שנעל פֿאַרמאַכן פֿאַרדעכטיקע VMs. די שנעלע רעאַקציע קייפּאַביליטי איז קריטיש צו ידענטיפֿיצירן פֿאַרדעכטיקע אַקטיוויטעטן, פאַרהיטן פּאָטענציעלע בריטשיז, און פֿאַרמינדערן טרעץ.

קאַמף סטעפּס:

• אַנטוויקלען אַ רשימה פון ערלויבטע אַקטיוויטעטן.
• שטעלן אויף מאָניטאָרינג און אַלערטינג סיסטעמען און זוכן פֿאַר לעכער אין זיי.
• אויפשטעלן שנעל-רעאַקציע פּראָטאָקאָלן פֿאַר נישט-אָטעריזירטע אַקטיוויטעטן.
• עלימינירן אומנייטיקע RMM מכשירים און איינפירן האָניקטאָקענס אַרום RMM מכשירים באַניץ פֿאַר פרי דעטעקציע און פינגערפּרינט דעפֿיניציע.
• קאָנפיגורירן בראַוזערז און טאַסקס צו רעגולער ויסמעקן פּערסיסטענט קיכלעך.
• מינימיזירן די לענג פון צייט וואָס אַ וועב קוקי איז לעבנספֿעיק — סקאַטערד ספּיידער ניצט זיי צו שאַפֿן פּערסיסטענט אַקסעס און דאַטן עקספֿילטראַציע.

איבערקוקן זיכערהייט קאנטראלן פון ווירטועל דעסקטאָפּ אינפראַסטרוקטור - זיכער מאַכן אַז ווירטועל דעסקטאָפּ אינפראַסטרוקטור (VDI) סביבות זענען זיכער מיט MFA, און קאַנטיניואַסלי מאָניטאָר באַניצער אַקטיוויטעטן.

קאַמף סטעפּס:

• קוק איבער די ליסטע פון VDI באַניצער צו זיכער מאַכן אַז זי איז אַרויף-צו-דאַטע.
• דורכפירן MFA.
• לאָזט נישט פּערזענלעכע דעוויסעס האָבן דירעקטן צוטריט צו אָפיס 365, ענטערפּרייז גוגל וואָרקספּייס, קאָרפּאָראַטיווע VPN'ס, אאז"וו.
• פארלאנגען פישינג-קעגנשטעליק MFA, ווי למשל YubiKeys, Windows Hello for Business, אא"וו. טראסט נישט באניצער צו באשטעטיגן MFA פארלאנגען אדער ארויסגעבן קאודס.
• אויב אַן אָרגאַניזאַציע האָט VDI צו דערלויבן דריט-פּאַרטיי צוטריט, זאָרגט אַז יענע VDIs קענען נישט צוטריטן צו Secure Shells (SSH) אָדער Remote Desk פּראָטאָקאָלן (RDP), אָדער דערגרייכן וועבזייטלעך וואָס זענען נישט נייטיק פֿאַר דעם באַניצער צו דורכפירן זייער אַרבעט.
• דורכפירן רעגולערע אוידיטס און רעאל-צייט מאָניטאָרינג פון אַלע באַניצער סעסיעס.
• באַשטעטיקט אַז עס זענען נישטאָ קיין MFA דורך SMS אין קיין אַפּליקאַציעס, אַרייַנגערעכנט ווענדאָר אַפּליקאַציעס. SMS-באזירטע MFA קען אריינברענגען באַדייטנדיקע ריזיקעס ווייל:
  • • SMS מעסעדזשעס קענען ווערן אפגעשטעלט ווייל זיי זענען נישט פארשליסל
    • אַטאַקערס קענען בייפּאַסן MFA דורך סאציאלער אינזשעניריע
    • סכּנה אַקטיאָרן קענען באַקומען קאָנטראָל איבער אַ טעלעפאָן נומער, אָפּהאַקן SMS מעסעדזשעס, און באַקומען אַנאָטערייזד אַקסעס דורך SIM סוואַפּינג
    • אויספֿאַלן קענען פֿאַרהיטן באַניצער פֿון באַקומען אויטענטיפֿיקאַציע קאָדן

אידענטיפיצירן צוטריט פונקטן און בלאקירן הויך-ריזיקירן צוטריט – פילע אָרגאַניזאַציעס מוזן ערלויבן עמפּלוייז, רעגולאַטאָרישע אַגענטורן, דריט-פּאַרטיי פאַרקויפער, און אַנדערע צוטריט צו זייערע דיגיטאַלע אינפראַסטרוקטורן. באַשיצן אַלע אַרייַנגאַנג פונקטן – ספּעציעל די הויך-ריזיקירן – מיט קאָנטראָלן אָדער בלאַקס, און אָננעמען אַז אַלע געראטן סערוויס פּראַוויידערז זענען קאָמפּראָמיטירט.

קאַמף סטעפּס:

• גיט נישט קיין דריטע פּאַרטיי אומבאגרענצטע צוטריט צו אַ קאָרפּאָראַטיווע נעץ.
• פאַרבייטן סייט-צו-סייט VPN'ס מיט VDI'ס ניצנדיק פישינג-קעגנשטעליק MFA און נול צוטרוי וואו מעגלעך.
• אידענטיפיצירן און בלאקירן ניי באשאפן דאמעינס וואס זעען אויס צו זיין מעגליכע פישינג זייטלעך (למשל, טיפאסקוואטינג דאמעין נעמען).
• בלאקירן יעדע RAT עקסעקוטאַבלע פון לויפן אויף געראטן דעוויסעס.
• בלאקירן די וועבזייטלעך פון אלע באקאנטע קאמערציעלע ווייט-הילף מכשירים.
• אימפלעמענטירן געאגראפֿישע בלאקירונג וואו מעגלעך.
• בלאקירן קאמערציעלע VPN'ס וואס פארבינדן זיך צום קארפאראטיוון VPN אדער VDI מיט א סערוויס ווי ip2proxy אדער Spur.
• בלאקירן דעווייס טיפן ביים ווי-פי-ען אויב זיי ווערן נישט גענוצט דורך קאסטומער סערוויס פארשטייערס. (קעגנער האבן אפט גענוצט אנדרויד דעווייס x86.)

אוידיט דערלויבענישן געגעבן צו HR - שטרענג אויסגלייַכן HR פּערמישאַנז מיט אָפּעראַציאָנעלע נויטווענדיקייטן באַשיצט סענסיטיווע עמפּלויי און פינאַנציעלע דאַטן.

קאַמף סטעפּס:

• דורכפירן אַן אַלגעמיינע אוידיט פון HR צוטריט פּערמישאַנז.
• איבערקוקן די צוטריט רעכטן פון די פארקויפער און פראוויידער.
• בילדונג געבן HR פּערסאָנעל וועגן סייבערזיכערהייט ריסקס און ריכטיקע דאַטן האַנדלינג.

פאָרשונג דאַטן באַוועגונג יוטילאַטיז אין SaaS אַפּלאַקיישאַנז - מאָניטאָרירן און טראַקן דאַטן באַוועגונגען אין SaaS (סאָפטווער-ווי-אַ-סערוויס) סיסטעמען (למשל, Salesforce אדער ServiceNow) איז קריטיש ווייַל SaaS אַפּלאַקיישאַנז האָבן אָפט (דריט-פּאַרטיי) דאַטן באַוועגונג יוטילאַטיז בנימצא פֿאַר פֿאַרשידענע צוועקן און קענען אַנטהאַלטן סענסיטיווע אינפֿאָרמאַציע.

קאַמף סטעפּס:

• אינטעגרירן דאַטן באַוועגונג נוצן מאָניטאָרינג אין לאָג דאַטן.
• שטעלט אויף אויטאָמאַטישע וואָרענונגען און קאָנטראָלס פֿאַר ומגעוויינטלעכע דאַטן טעטיקייט.

איבערקוקן טראַסטיד IP אַדרעסן באַפרייט פון MFA - אָרגאַניזאַציעס קענען פֿאַרמינערן די MFA שטרענגקייט וועגן ריקוועסץ פֿון אַ פֿאַרטרויט נעץ, אַזאַ ווי אַ VPN, אָפֿיס נעץ, אאַז"וו. מינימיזירן די MFA אויסנעמען פֿאַרשטאַרקט נעץ אַקסעס קאָנטראָלן, אַ וויכטיקער שריט אין זיכערן פֿינאַנציעלע און סענסיטיווע דאַטן.

קאַמף סטעפּס:

• איבערקוקן און דערהייַנטיקן די רשימה פון טראַסטיד IP אַדרעסעס אין דער סביבה.
• פאַרבייַטן סטאַטישע IP ווייסליסטינג מיט דינאַמישע קאַנדישאַנאַל אַקסעס פּאָליטיקס.

דערקענען די אינסיידער סאַקאָנע פּאָוזד דורך קונה סערוויס פארשטייערס — סקאַטערד ספּיידער באַקומט אָפט ערשטן צוטריט צו געשעפט סיסטעמען דורך נאַרן קונה סערוויס פארשטייערס – אָבער עס רעקרוטירט זיי אויך. סקענט רעגולער פֿאַר פּאָטענציעל בייזוויליקע טעטיקייט.

קאַמף סטעפּס:

• דורכקוקן די טעטיקייט פון קונה סערוויס פארשטייערס אויף וואונדער פון א מעגלעכן קאמפראמיס ווי למשל:
  • א גרויסע צאָל פּאַראָל ריסעטס אָדער חשבון וויוז אין אַ קורצער צייט
  • צוטריט צו קונה אקאונטס אן קיין איבעריגע וועריפיקאציע טריט (למשל, אריינגעבן קונה פּין, איבעריגע צו ANI, א.א.וו.)
  • "קרעדענשאַל דזשאַגאַלינג," ד"ה, לאָגינג אין VPN מיט קרעדענשאַלז אַנדערש ווי די געניצט צו אַקסעס CSR מכשירים
• זוכט אין טשאַט/אימעיל שטיצע טעקסט לאָגס פֿאַר רעקרוטמענט פּרוּוון דורך ניצן סטרינג זוכענישן וואָס דערמאָנען געוויינטלעכע טערמינען געניצט אין סאָליסיטיישאַנז, אַזאַ ווי "טעלעגראַם," "וויקר," אָדער "ווער רייך."
• אימפלעמענטירן צייט-געבונדענע צוטריט פאר קאסטומער סערוויס פארשטייערס פאר קרעדענשעלס און VPN, און ווארענען אויף יעדע לאגין אינדרויסן פון אגענטן'ס נארמאלע ארבעטס שעה.

צעוואָרפענע שפּין טאַקטיקס און מיטיגאַציעס

די פאלגענדע טאבעלע שליסט איין די אנאליזן פון ISAC סייבערזיכערהייט עקספערטן פון אינטעליגענץ וואס ווערט געטיילט דורך טויזנטער מיטגליד ארגאניזאציעס. אסאך פון די טאקטיקן זענען געווארן אנטדעקט דורך די FBI בעת די אויספארשונגען פון סקעטערד ספיידער, וועלכע זענען אויסגעשמועסט אין די געמיינזאמע CISA און FBI Scattered Spider סייבערזיכערהייט עצהדי MITRE ATT&CK מיטיגאַציעס זענען גענומען פון איר אַנאַליז פון TTPs, באַזירט אויף די אָרגאַניזאַציע'ס פאַקטישע אָבסערוואַציעס.

זעט אין דעם PDF אויבן.