一个出于经济动机的威胁行为者正在攻击电信服务提供商和业务流程外包公司,主动逆转检测到漏洞时应用的防御缓解措施。
Crowdstrike 发现了该活动,他说攻击始于 2022 年 6 月并且仍在进行中,安全研究人员能够识别出五种不同的入侵。
这些攻击被低可信度地归因于被追踪为“分散蜘蛛”的黑客,他们表现出坚持保持访问、逆转缓解措施、逃避检测并在受挫时转向其他有效目标。
该活动的最终目标是破坏电信网络系统、访问用户信息并进行 SIM 交换等操作
。
活动详情
威胁行为者使用各种社会工程策略获得对公司网络的初始访问权限。
这些策略包括致电员工并冒充 IT 人员获取凭据,或使用 Telegram 和 SMS 消息将目标重定向到带有公司徽标的定制网络钓鱼站点。
如果 MFA 保护了目标帐户,攻击者要么采用推送通知 MFA 疲劳策略 ,要么从事社会工程以从受害者那里获取代码。
在一个案例中,对手利用 ForgeRock AM 服务器中的缺陷CVE-2021-35464来运行代码并提升他们在 AWS 实例上的特权。
“利用 AWS 实例角色来承担或提升 Apache Tomcat 用户的权限,对手会使用受损的 AWS 令牌请求并承担实例角色的权限,” Crowdstrike 解释说。
一旦黑客获得系统访问权限,他们就会尝试使用受感染的用户帐户将自己的设备添加到受信任的 MFA(多因素身份验证)设备列表中。
Crowdstrike 注意到黑客在他们的活动中使用了以下实用程序和远程监控和管理 (RMM) 工具:
- 任何办公桌
- 无处不在
- 多莫茨
- DW服务
- 修复我
- 舰队甲板.io
- 意大利端点管理器
- 关卡.io
- 登录
- 管理引擎
- N-能力
- 脉冲通道
- 报告
- Rsocx
- 屏幕连接
- 通过 SSH 的 SSH RevShell 和 RDP 隧道
- 团队查看器
- 趋势科技大本营
- 栗属
- 零层
上述许多是企业网络中常见的合法软件,因此不太可能在安全工具上生成警报。
在 Crowdstrike 观察到的入侵中,对手不懈地试图保持对被破坏网络的访问,即使在被发现之后也是如此。
CrowdStrike 警告说:“在多项调查中,CrowdStrike 观察到对手变得更加活跃,如果缓慢实施缓解措施,则会设置额外的持久性机制,即 VPN 访问和/或多个 RMM 工具。”
“在很多情况下,对手通过重新启用之前被受害组织禁用的帐户来恢复一些缓解措施。”
在 Crowdstrike 观察到的所有入侵中,对手使用各种 VPN 和 ISP 访问受害组织的 Google Workspace 环境。
为了横向移动,威胁行为者提取各种类型的侦察信息,从被破坏的租户下载用户列表,滥用 WMI,并执行 SSH 隧道和域复制。
Crowdstrike 在报告底部分享了该活动的广泛的妥协指标 (IoC) 列表,这对于防御者来说至关重要,因为威胁参与者在不同的入侵中使用相同的工具和 IP 地址。
