UNC3944 又名“散布蜘蛛”将重点转向 SaaS 应用程序的数据窃取

受经济动机驱动的 UNC3944 威胁组织已将重点转向从软件即服务应用程序窃取数据，但没有使用其历史上常用的勒索软件变种。

UNC3944，也称为 0ktapus、Octo Tempest、Scatter Swine 和Scattered Spider，是一个以经济为目的的威胁组织，自 2022 年 5 月成立以来，其策略已表现出显著的适应性。

据谷歌旗下网络安全公司Mandiant称，该威胁组织现已改进其策略，包括从 SaaS 应用程序窃取数据。Mandiant 表示，它利用云同步工具进行数据泄露、针对虚拟化平台的持久性机制以及通过滥用 SaaS 权限进行横向移动。

不使用勒索软件进行数据盗窃勒索
UNC3944 最初专注于凭证窃取和 SIM 卡交换攻击，但多年来已转向勒索软件。Mandiant 现已发现证据表明，该威胁组织已进一步发展，目前主要转向数据盗窃勒索，而无需部署任何勒索软件。

UNC3944 的最新攻击生命周期通常始于针对企业服务台的社会工程技术。Mandiant 表示，该威胁组织在多个实例中利用特权帐户获得了初始访问权限。

UNC3944 团伙利用可能从受害者社交媒体资料中抓取的个人身份信息 (PII)（如社保号、出生日期和就业详情）绕过服务台的身份验证流程。他们经常声称收到新手机后需要重置多因素身份验证 (MFA)，这样他们就可以重置密码并绕过特权帐户的 MFA 保护。

“证据还表明，UNC3944 有时会采取恐吓手段来获取受害者凭证。这些手段包括威胁泄露个人信息、对受害者及其家人造成人身伤害以及传播有损名誉的材料。” – Mandiant

UNC3944 攻击生命周期的第一阶段
该威胁组织攻击生命周期的第一阶段包括：

• 社会工程学： UNC3944 进行了复杂的社会工程学攻击，利用对受害者的广泛研究来获得帮助台访问权限。
• 凭证收集：利用短信网络钓鱼活动来收集凭证。
• 内部侦察：获得访问权限后，对 SharePoint 等 Microsoft 应用程序进行侦察，以收集有关 VPN、VDI 和远程工作实用程序的内部文档。
• 权限提升：滥用 Okta 权限进行自我分配角色并获得对 SaaS 应用程序的更广泛访问权限。

UNC3944 攻击生命周期（来源：Mandiant）
攻击生命周期的第二阶段
在 UNC3944 攻击生命周期的第二阶段，威胁组织通过在 vSphere 和 Azure 等环境中创建新的虚拟机，采用了激进的持久性方法。他们使用管理权限创建这些机器，并将其配置为禁用安全策略（例如 Microsoft Defender），以避免被发现。

由于缺乏端点监控，该组织可以下载 Mimikatz、ADRecon 等工具以及 NGROK、RSOCX 和 Localtonet 等各种隐蔽隧道实用程序，从而无需VPN或 MFA 即可维持对受感染设备的访问。

UNC3944 此前曾在虚拟机文件系统上部署过 Alphv 勒索软件，但 Mandiant 表示，自 2024 年以来，尚未观察到该威胁组织部署勒索软件。

重点转向 SaaS 应用程序
UNC3944 目标的新转变是利用 SaaS 应用程序来获取进一步的访问权限并进行侦察。

“Mandiant 观察到对 vCenter、Cyber​​Ark、SalesForce、Azure、CrowdStrike、AWS 和 GCP 等应用程序的访问。”

一旦威胁组织获得任何 SaaS 应用程序的访问权限，他们就会使用端点检测和响应工具来测试对环境的访问，并进一步使用 Airbyte 和 Fivetran 等工具将数据泄露到攻击者拥有的云存储中。

第二阶段的先进技术
UNC3944 在攻击生命周期第二阶段展示的一些先进技术包括：

ADFS 目标：导出 Active Directory 联合服务证书以执行 Golden SAML 攻击，实现持久云访问。

数据泄露：使用云同步实用程序将数据从 SaaS 平台移动到外部云存储。

端点检测和响应 (EDR)：在 CrowdStrike 的控制台中创建 API 密钥，用于执行命令和进一步测试访问。

反取证措施： UNC3944 使用反取证技术来掩盖其活动。他们使用公开可用的实用程序重新配置虚拟机、禁用日志记录并删除端点保护。攻击者还使用 PCUnlocker 等 ISO 文件重置本地管理员密码并绕过域控制。

滥用 M365 Delve 功能
Mandiant 观察到 UNC3944 使用 Microsoft Office Delve 等先进的 M365 功能进行数据侦察，以发现可访问的数据源。

Delve 可根据群组成员身份或直接共享快速访问文件，并显示来自 M365 来源的个性化内容推荐并映射组织关系。虽然此功能对协作很有用，但 UNC3944 利用 Delve 进行快速侦察，通过最近的修改识别活跃项目和敏感信息。

这些资源通常缺乏足够的安全监控和日志记录。防火墙和网络流量传感器等传统安全控制措施无法有效检测来自 SaaS 平台的大量数据传输。使用传统日志识别数据盗窃具有挑战性，而使用历史日志分析进行实时检测仍然很困难。

在 SaaS 应用程序中存储敏感数据会带来重大风险，而由于 SaaS 模型的安全性，这些风险往往会被忽视。UNC3944 利用了这些弱点，并利用不充分的日志记录和监控来执行未被发现的数据盗窃。

建议的缓解措施
Mandiant 研究人员建议采取一些控制措施来防范该威胁组织的策略：

• 为 VPN 访问实施基于主机的证书和 MFA，以确保安全连接。
• 制定更严格的条件访问策略并限制云租户内的可见性和访问权限。
• 通过来自 SaaS 应用程序和虚拟机基础设施的集中日志增强监控以检测可疑活动。
• 确保对 SaaS 应用程序进行全面日志记录，以检测恶意意图的迹象。