UNC3944 又名“散布蜘蛛”将重点转向 SaaS 应用程序的数据窃取

阅读量53249

发布时间 : 2024-06-14 10:26:06

受经济动机驱动的 UNC3944 威胁组织已将重点转向从软件即服务应用程序窃取数据,但没有使用其历史上常用的勒索软件变种。

UNC3944,也称为 0ktapus、Octo Tempest、Scatter Swine 和Scattered Spider,是一个以经济为目的的威胁组织,自 2022 年 5 月成立以来,其策略已表现出显著的适应性。

据谷歌旗下网络安全公司Mandiant称,该威胁组织现已改进其策略,包括从 SaaS 应用程序窃取数据。Mandiant 表示,它利用云同步工具进行数据泄露、针对虚拟化平台的持久性机制以及通过滥用 SaaS 权限进行横向移动。

不使用勒索软件进行数据盗窃勒索
UNC3944 最初专注于凭证窃取和 SIM 卡交换攻击,但多年来已转向勒索软件。Mandiant 现已发现证据表明,该威胁组织已进一步发展,目前主要转向数据盗窃勒索,而无需部署任何勒索软件。

UNC3944 的最新攻击生命周期通常始于针对企业服务台的社会工程技术。Mandiant 表示,该威胁组织在多个实例中利用特权帐户获得了初始访问权限。

UNC3944 团伙利用可能从受害者社交媒体资料中抓取的个人身份信息 (PII)(如社保号、出生日期和就业详情)绕过服务台的身份验证流程。他们经常声称收到新手机后需要重置多因素身份验证 (MFA),这样他们就可以重置密码并绕过特权帐户的 MFA 保护。

“证据还表明,UNC3944 有时会采取恐吓手段来获取受害者凭证。这些手段包括威胁泄露个人信息、对受害者及其家人造成人身伤害以及传播有损名誉的材料。” – Mandiant

UNC3944 攻击生命周期的第一阶段
该威胁组织攻击生命周期的第一阶段包括:

  • 社会工程学: UNC3944 进行了复杂的社会工程学攻击,利用对受害者的广泛研究来获得帮助台访问权限。
  • 凭证收集:利用短信网络钓鱼活动来收集凭证。
  • 内部侦察:获得访问权限后,对 SharePoint 等 Microsoft 应用程序进行侦察,以收集有关 VPN、VDI 和远程工作实用程序的内部文档。
  • 权限提升:滥用 Okta 权限进行自我分配角色并获得对 SaaS 应用程序的更广泛访问权限。

UNC3944,软件即服务
UNC3944 攻击生命周期(来源:Mandiant)
攻击生命周期的第二阶段
在 UNC3944 攻击生命周期的第二阶段,威胁组织通过在 vSphere 和 Azure 等环境中创建新的虚拟机,采用了激进的持久性方法。他们使用管理权限创建这些机器,并将其配置为禁用安全策略(例如 Microsoft Defender),以避免被发现。

由于缺乏端点监控,该组织可以下载 Mimikatz、ADRecon 等工具以及 NGROK、RSOCX 和 Localtonet 等各种隐蔽隧道实用程序,从而无需VPN或 MFA 即可维持对受感染设备的访问。

UNC3944 此前曾在虚拟机文件系统上部署过 Alphv 勒索软件,但 Mandiant 表示,自 2024 年以来,尚未观察到该威胁组织部署勒索软件。

重点转向 SaaS 应用程序
UNC3944 目标的新转变是利用 SaaS 应用程序来获取进一步的访问权限并进行侦察。

“Mandiant 观察到对 vCenter、Cyber​​Ark、SalesForce、Azure、CrowdStrike、AWS 和 GCP 等应用程序的访问。”

一旦威胁组织获得任何 SaaS 应用程序的访问权限,他们就会使用端点检测和响应工具来测试对环境的访问,并进一步使用 Airbyte 和 Fivetran 等工具将数据泄露到攻击者拥有的云存储中。

第二阶段的先进技术
UNC3944 在攻击生命周期第二阶段展示的一些先进技术包括:

ADFS 目标:导出 Active Directory 联合服务证书以执行 Golden SAML 攻击,实现持久云访问。

数据泄露:使用云同步实用程序将数据从 SaaS 平台移动到外部云存储。

端点检测和响应 (EDR):在 CrowdStrike 的控制台中创建 API 密钥,用于执行命令和进一步测试访问。

反取证措施: UNC3944 使用反取证技术来掩盖其活动。他们使用公开可用的实用程序重新配置虚拟机、禁用日志记录并删除端点保护。攻击者还使用 PCUnlocker 等 ISO 文件重置本地管理员密码并绕过域控制。

滥用 M365 Delve 功能
Mandiant 观察到 UNC3944 使用 Microsoft Office Delve 等先进的 M365 功能进行数据侦察,以发现可访问的数据源。

Delve 可根据群组成员身份或直接共享快速访问文件,并显示来自 M365 来源的个性化内容推荐并映射组织关系。虽然此功能对协作很有用,但 UNC3944 利用 Delve 进行快速侦察,通过最近的修改识别活跃项目和敏感信息。

这些资源通常缺乏足够的安全监控和日志记录。防火墙和网络流量传感器等传统安全控制措施无法有效检测来自 SaaS 平台的大量数据传输。使用传统日志识别数据盗窃具有挑战性,而使用历史日志分析进行实时检测仍然很困难。

在 SaaS 应用程序中存储敏感数据会带来重大风险,而由于 SaaS 模型的安全性,这些风险往往会被忽视。UNC3944 利用了这些弱点,并利用不充分的日志记录和监控来执行未被发现的数据盗窃。

建议的缓解措施
Mandiant 研究人员建议采取一些控制措施来防范该威胁组织的策略:

  • 为 VPN 访问实施基于主机的证书和 MFA,以确保安全连接。
  • 制定更严格的条件访问策略并限制云租户内的可见性和访问权限。
  • 通过来自 SaaS 应用程序和虚拟机基础设施的集中日志增强监控以检测可疑活动。
  • 确保对 SaaS 应用程序进行全面日志记录,以检测恶意意图的迹象。

本文转载自:

如若转载,请注明出处: https://thecyberexpress.com/unc3944-shifts-focus-to-data-theft-from-saas/

安全客 - 有思想的安全新媒体

分享到:微信
+13赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66