Momento della lettura: 2 minuti.
Il gruppo minaccioso UNC3944, noto come scatter spider, è stato osservato sfruttare tecniche di ingegneria sociale contro i centri assistenza aziendali per ottenere l’accesso iniziale ad account privilegiati. Questo attacco sofisticato prevede l’utilizzo delle informazioni personali già in possesso del gruppo per aggirare i controlli sull’identità dell’utente. Utilizzando informazioni quali le ultime quattro cifre dei numeri di previdenza sociale, date di nascita e nomi di manager, UNC3944 ha ottenuto con successo l’accesso a diversi account di alto livello.
Tattiche di ingegneria sociale e accesso a dati sensibili
UNC3944 ha utilizzato la tattica di Ingegneria sociale costantemente, spesso chiamando i centri di assistenza per richiedere un ripristino dell’autenticazione a più fattori (MFA) con il pretesto di acquistare un nuovo telefono. Dopo aver ottenuto l’accesso iniziale, il gruppo ha condotto una ricognizione interna su applicazioni Microsoft come SharePoint per identificare i requisiti di connessione remota, spesso prendendo di mira guide e documentazione interne per VPN, infrastrutture desktop virtuali (VDI) e utilità di telelavoro remoto.
Abuso dei permessi di Okta
UNC3944 ha anche sfruttato le tecniche di abuso dei permessi di Okta, assegnando automaticamente un account compromesso a tutte le applicazioni in un’istanza di Okta per espandere l’ambito dell’intrusione alle applicazioni Cloud e SaaS. Ciò ha permesso al gruppo di condurre una ricognizione interna attraverso il portale web Okta, osservando visivamente quali applicazioni erano disponibili dopo queste assegnazioni di ruolo.
Compromissione delle macchine virtuali
Un aspetto di queste intrusioni include la creazione di nuove macchine virtuali come metodo di persistenza. Mandiant ha osservato UNC3944 accedere a vSphere e Azure utilizzando applicazioni Single Sign-On per creare nuove macchine virtuali da cui condurre tutte le attività successive. L’utilizzo di strumenti disponibili pubblicamente come MAS_AIO e privacy-script.bat ha consentito al team di riconfigurare le nuove macchine virtuali per disabilitare varie policy, inclusa la protezione predefinita di Microsoft Defender.
Attacchi alle applicazioni SaaS
Oltre alla tradizionale attività on-premise, UNC3944 ha effettuato attacchi alle applicazioni SaaS utilizzando credenziali rubate per accedere ad applicazioni protette da provider Single Sign-On. È stato osservato l’accesso non autorizzato ad applicazioni come vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS e Google Cloud Platform (GCP). L’attività era mirata principalmente a scoprire infrastrutture chiave e potenziali obiettivi di esfiltrazione, come database e contenuti web.
Il lavoro di UNC3944 evidenzia l’importanza di proteggere le applicazioni SaaS e le infrastrutture cloud. Tecniche avanzate di ingegneria sociale e la capacità di aggirare le tradizionali misure di sicurezza richiedono un’attenzione continua e misure di sicurezza avanzate per proteggere i beni aziendali. Mandante raccomanda alle organizzazioni di rivedere e rafforzare le proprie strategie di sicurezzain particolare quelli relativi alle autenticazioni e autorizzazioni delle applicazioni cloud e SaaS.
