Raštrkana taktika pauka i dalje se razvija, upozori cyber policajce

Rattyrat i druga iznenađenja

Povijesno, raštrkani paukov napadi započeli su širokim phishing-om i razmazivanje pokušaja koji potiču iz zlonamjerno izrađenih, domena specifičnih za žrtve.

To i dalje predstavlja slučaj, sa nekim manjim varijantima – nove domene koje promatraju FBI kasno su uključivale ciljeve ime-CMS[.]com, ciljevi ime-helpdesk[.]Com i Oktalogin-ciljevi naziv[.]com. Raštrkani pauk često je koristio OKTA marking u svojim napadima u prošlosti (jedan od ostalih pseudonima je 0Ktapus), a njena neuzvraćena ljubavna afera sa stručnjakom za identitet usluga nastavlja se.

Trenutni val napada također zapošljava ciljaniji i višeslojni na koplje i viška u svojoj PlayBook-u, često uključuje legitimne b2b web stranice za prikupljanje informacija kako bi se obogatili njihovi pokušaji i čine ih ubedljivijim.

Čini se da se raštrkani pauk dodatno rafinira svoj socijalni inženjering, a nedavno je opažen kao zaposleni u žrtvi da ga ubede ili pomažu osoblju da pruži vjerodajnice, pokreću i prenose više faktorske autentifikacije na uređaje koje kontroliraju.

Uz uspostavljen pristup, raštrkani pauk je također dodao niz legitimnih alata za tuneliranje udaljenog pristupa svom popisu tehničke stručnosti. Pored lajkova ekrana i TeamViewer, sada koristi Anydesk da bi omogućio daljinski pristup mrežnim uređajima i teleport.sh i omogućiti daljinski pristup lokalnim sistemima.

Savjetodavni detalji daljinski pristup na bazi Java Trojan nazvan Rattyrat, koji raštrkani pauk koristi za uspostavljanje trajnog i prikrivenog pristupa i obavljaju interne rekonstruktne aktivnosti u infrastrukturi svojih žrtava. Banda također drži blizak traženje znakova koji su otkriveni, a osim praćenja internih aplikacija kao što su Microsoftove timove i Slack, sada čine da se njegova aktivnost čini većem ubedljivom stvaranju novih identiteta koji podržavaju profile društvenih medija Sock-a.

Savjetodavstvo također bilježi da je dobro primijećena pripadnost bande sa Dragonforceom Ransomwareom za šifriranje podataka i iznuđivanje, te sve više ciljaju na VMware esxi servere u ovome. Kada se izuzme podatke u svojim napadama za otkucanje – čini se da sada traže pristupom snježnog pahuljice žrtvama da kradu više podataka – koristi više web lokacija, uključujući MEGA i američke, tox, e-poštu i šifrirane aplikacije za komunikaciju sa svojim žrtvama.

Potpuno ažurirano savjetovanje sadrži bogatstvo dodatnih informacija, uključujući taktiku, tehnike i ublažavanje MITER ATT & CK.

Također poziva žrtve da izvještavaju incidente vlastima, podliježu lokalnim zakonskim zahtjevima i ponavlja smjernice da ne plaćaju otkupnine za šifrirane podatke.

Zaradi za lidere bezbednosti

Nick TAUSK, arhitekta automatizacije vodećih sigurnosti u Swimlanu, dobavljač platforma AI, rekao je da su dvije glavne tačke izlazile iz ažuriranog savjetovanja.

“Prvo, razbacana sposobnost pauka da bi se exfiltratila velike količine podataka trebale bi povećati puno crvenih zastava”, rekao je. “Pristup snežnim pahuljicama omogućava grupi da se odmah pokrene hiljadama upita, često raspoređivanjem zlonamjernog softvera Dragonforce za šifriranje ciljnih organizacija poslužitelja. Potencijal za ogromne iznose detalja objašnjava zašto su uspješni u višestrukim industrijama, od osiguranja do prijevoza u maloprodaju.

“Međutim, ono što bi moglo biti još uznemirujuće je diligencija koja izlaže grupa”, rekao je tumuka. “Unošenje incidenta sanacija i odziva poziva se neotkrivenim kako bi se identificirali kako se sigurnosni timovi prilagođavaju njihovim napadima, a naprijed je ostalo naprijed. Slušajući im pristupu informacijama kao što će se loviti, a koje će se prilagođavati sigurnosnim timovima za sprečavanje budućih napada.

“Organizacije trebaju upravljati kontrolama aplikacija koje mogu spriječiti daljinski priključci ili virtualna sučelja za radnoj površini. Pored toga, organizacije bi trebale ozbiljno ograničiti korištenje planova za oporavak, kao što su izvan mreže za oporavak podataka, kao što je izvan mreže za povrat podataka, u slučaju da se ransomware prekrši njihovu sigurnost.”