威胁情报信息分享|Muddled Libra网络犯罪组织利用高级社会工程学手段针对BPO行业

据悉，被称为"Muddled Libra（直接翻译为混乱天秤）"的威胁行动者正通过持续的攻击，利用先进的社会工程学策略来初步进入业务流程外包(BPO)行业。

Palo Alto Networks的Unit 42在一份技术报告中称："混乱天秤的攻击风格于2022年底首次出现在网络安全雷达上，当时发布了0ktapus的钓鱼工具包，该工具包提供了预建的托管框架和捆绑模板。"

Libra是该网络安全公司为网络犯罪组织设定的标识。"Muddled"的名称源于关于使用0ktapus框架的普遍模糊不清。

0ktapus，也被称为Scatter Swine（翻译为散播猪），指的是2022年8月首次出现的一个入侵组，与针对Twilio和Cloudflare等100多个组织的短信钓鱼攻击有关。

然后在2022年底，CrowdStrike详细描述了一系列自2022年6月以来针对电信和BPO公司的网络攻击，这些攻击主要通过凭据钓鱼和SIM卡换卡攻击来进行。这个群集正在被跟踪，名为Roasted 0ktapus、Scattered Spider和UNC3944。

"由于与0ktapus钓鱼工具包相关的环境混乱不堪，Unit 42决定将其命名为Muddled Libra，"高级威胁研究员Kristopher Russo告诉The Hacker News。

"由于这个工具包现在已经广泛可用，许多其他的威胁行动者正在将它添加到他们的武器库。仅仅使用0ktapus钓鱼工具包并不能将威胁行动者分类为Unit 42所称的Muddled Libra。"

这个电子犯罪团伙的攻击开始时，利用短信钓鱼和0ktapus钓鱼工具包建立初始访问，通常以数据窃取和长期持久化结束。

另一个独特的标志是在下游攻击中使用受损的基础设施和被盗数据对受害者的客户进行攻击，有时甚至反复针对同一受害者，以补充其数据集。

在2022年6月至2023年初期间，Unit 42调查了一半以上的Muddled Libra攻击事件，将该团伙描述为执着且"在追求目标上有条不紊，面对阻碍能够快速改变策略"。

除了喜欢使用各种合法的远程管理工具来保持持续访问，Muddled Libra还被认为会干扰终端安全解决方案，以便进行防御规避，并利用多因素认证（MFA）通知疲劳策略来窃取凭证。

APT攻击者还被观察到收集员工名单、工作角色和手机号码，以便进行短信钓鱼和提示炸弹攻击。如果这种方法失败，Muddled Libra的行动者会冒充受害者，联系组织的帮助台，以在他们控制下的新MFA设备上注册。

研究人员表示："Muddled Libra的社会工程学成功是值得注意的。在我们的许多案例中，该团体都显示出与帮助台和其他员工通过电话交流的非常高的舒适度，说服他们进行不安全的行动。"

攻击中还使用了Mimikatz和Raccoon Stealer等凭据窃取工具来提升访问权限，以及其他扫描器来帮助网络发现，并最终从Confluence、Jira、Git、Elastic、Microsoft 365和内部消息平台中窃取数据。

Unit 42推测，制造0ktapus钓鱼工具包的人并没有Muddled Libra所拥有的那种先进能力，并补充说，尽管存在技术手法的重叠，但该行动者和UNC3944之间没有明确的联系。

研究人员说："在狡猾的社会工程学和灵活的技术适应性的交叉点，存在着Muddled Libra。他们在一系列安全领域都很熟练，能够在相对安全的环境中生存并快速执行，以完成毁灭性的攻击链。"

"由于对企业信息技术有深入的了解，即使对于具有良好传统网络防御的组织，这个APT组织也构成了重大风险。"

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|Muddled Libra网络犯罪组织利用高级社会工程学手段针对BPO行业