Ngày 23 tháng 6 năm 2023Ravie Lakshmanan Kỹ thuật xã hội / Lừa đảo
Một tác nhân đe dọa được gọi là Thiên Bình lộn xộn đang nhắm mục tiêu vào ngành gia công quy trình kinh doanh (BPO) bằng các cuộc tấn công liên tục tận dụng các thủ đoạn kỹ thuật xã hội tiên tiến để có được quyền truy cập ban đầu.
“Kiểu tấn công xác định Muddled Libra đã xuất hiện trên radar an ninh mạng vào cuối năm 2022 với việc phát hành bộ lừa đảo 0ktapus, cung cấp khung lưu trữ dựng sẵn và các mẫu đi kèm,” Đơn vị 42 của Palo Alto Networks cho biết trong một báo cáo kỹ thuật.
Libra là tên gọi do công ty an ninh mạng đưa ra cho các nhóm tội phạm mạng. Biệt danh “lộn xộn” dành cho tác nhân đe dọa bắt nguồn từ sự mơ hồ phổ biến liên quan đến việc sử dụng khung 0ktapus.
0ktapus, còn được gọi là Scatter Swine, đề cập đến một nhóm xâm nhập lần đầu tiên được đưa ra ánh sáng vào tháng 8 năm 2022 liên quan đến các cuộc tấn công lén lút nhằm vào hơn 100 tổ chức, bao gồm cả Twilio và Cloudflare.
Sau đó, vào cuối năm 2022, CrowdStrike đã nêu chi tiết một loạt các cuộc tấn công mạng nhằm vào các công ty viễn thông và BPO ít nhất kể từ tháng 6 năm 2022 bằng cách kết hợp các cuộc tấn công lừa đảo thông tin xác thực và hoán đổi SIM. Cụm này đang được theo dõi dưới tên Roasted 0ktapus, Scattered Spider và UNC3944.
“Đơn vị 42 quyết định đặt tên Muddled Libra vì bối cảnh lộn xộn khó hiểu liên quan đến bộ công cụ lừa đảo 0ktapus,” nhà nghiên cứu mối đe dọa cấp cao Kristopher Russo nói với The Hacker News.
“Vì bộ công cụ này hiện đã được phổ biến rộng rãi nên nhiều tác nhân đe dọa khác đang bổ sung nó vào kho vũ khí của họ. Chỉ riêng việc sử dụng bộ công cụ lừa đảo 0ktapus không nhất thiết phải phân loại tác nhân đe dọa là cái mà Đơn vị 42 gọi là Muddled Libra.”
Các cuộc tấn công của nhóm tội phạm điện tử bắt đầu bằng việc sử dụng bộ công cụ lừa đảo 0ktapus và smishing để thiết lập quyền truy cập ban đầu và thường kết thúc bằng việc đánh cắp dữ liệu và tồn tại lâu dài.
Một dấu hiệu độc đáo khác là việc sử dụng cơ sở hạ tầng bị xâm phạm và dữ liệu bị đánh cắp trong các cuộc tấn công xuôi dòng nhằm vào khách hàng của nạn nhân và trong một số trường hợp, thậm chí nhắm mục tiêu lặp đi lặp lại cùng một nạn nhân để bổ sung bộ dữ liệu của họ.
Đơn vị 42, đơn vị đã điều tra hơn nửa tá sự cố Muddled Libra từ tháng 6 năm 2022 đến đầu năm 2023, mô tả nhóm này là ngoan cố và “có phương pháp theo đuổi mục tiêu và rất linh hoạt với các chiến lược tấn công của họ”, nhanh chóng thay đổi chiến thuật khi gặp chướng ngại vật.
Bên cạnh việc ưu tiên một loạt các công cụ quản lý từ xa hợp pháp để duy trì quyền truy cập liên tục, Muddled Libra còn được biết là can thiệp vào các giải pháp bảo mật điểm cuối để trốn tránh phòng thủ và lạm dụng các chiến thuật xác thực đa yếu tố (MFA) để đánh cắp thông tin đăng nhập.
Tác nhân đe dọa cũng đã được quan sát thu thập danh sách nhân viên, vai trò công việc và số điện thoại di động để thực hiện các cuộc tấn công đánh bom chớp nhoáng và nhanh chóng. Nếu cách tiếp cận này không thành công, những người tham gia Muddled Libra sẽ liên hệ với bộ phận trợ giúp của tổ chức đóng giả làm nạn nhân để đăng ký một thiết bị MFA mới dưới sự kiểm soát của họ.
Các nhà nghiên cứu cho biết: “Thành công về kỹ thuật xã hội của Muddled Libra là rất đáng chú ý. “Qua nhiều trường hợp của chúng tôi, nhóm đã thể hiện mức độ thoải mái cao bất thường khi thu hút cả bộ phận trợ giúp và các nhân viên khác qua điện thoại, thuyết phục họ tham gia vào các hành động không an toàn.”
Cũng được sử dụng trong các cuộc tấn công là các công cụ đánh cắp thông tin xác thực như Mimikatz và Raccoon Stealer để nâng cao quyền truy cập cũng như các trình quét khác để tạo điều kiện khám phá mạng và cuối cùng là lọc dữ liệu từ Confluence, Jira, Git, Elastic, Microsoft 365 và các nền tảng nhắn tin nội bộ.
Đơn vị 42 đưa ra giả thuyết rằng các nhà sản xuất bộ công cụ lừa đảo 0ktapus không có các khả năng tiên tiến giống như Muddled Libra sở hữu, thêm vào đó không có mối liên hệ rõ ràng nào giữa tác nhân và UNC3944 mặc dù có sự chồng chéo về thủ công.
Các nhà nghiên cứu cho biết: “Ở giao điểm của kỹ thuật xã hội quỷ quyệt và khả năng thích ứng công nghệ nhanh nhẹn là Muddled Libra,” các nhà nghiên cứu cho biết. “Họ thành thạo trong nhiều lĩnh vực bảo mật, có thể phát triển mạnh trong môi trường tương đối an toàn và thực hiện nhanh chóng để hoàn thành các chuỗi tấn công tàn khốc.”
“Với kiến thức sâu rộng về công nghệ thông tin doanh nghiệp, nhóm mối đe dọa này gây rủi ro đáng kể ngay cả đối với các tổ chức có hệ thống phòng thủ mạng kế thừa được phát triển tốt.”
