Scattered Spider 黑客组织将重点转向云应用程序以窃取数据

Scattered Spider 是指一群经常使用相同 Telegram 频道、黑客论坛和 Discord 服务器的网络犯罪分子。

虽然有报道称 Scattered Spider 是一个有特定成员的有组织团伙，但该组织实际上是一个由讲英语（不一定来自英语国家）的个人组成的松散集体，他们共同合作进行入侵、窃取数据并勒索目标。

目前，Scattered Spider 团伙已开始从软件即服务 (SaaS) 应用程序中窃取数据，并通过创建新的虚拟机建立持久性。

该团伙还被追踪为Octo Tempest、0ktapus、Scatter Swine 和 UNC3944，他们通常进行社会工程攻击，使用短信钓鱼、SIM 卡交换和账户劫持来获取本地访问权限。

谷歌网络安全公司 Mandiant 在最近的一份报告中指出，Scattered Spider 的策略、技术和程序 (TTP) 扩展到云基础设施和 SaaS 应用程序，以窃取数据进行勒索，而无需加密系统。且调查表明，这种目标的改变促使目标行业和组织不断扩大。

       针对 SaaS 应用程序的攻击

Scattered Spider 依靠社会工程技术，通常以公司服务台代理为目标，试图获得特权帐户的初始访问权限。

威胁分子准备有个人信息、职位和经理姓名，以绕过验证流程。他们假装是合法用户，需要重置多因素身份验证 (MFA) 来设置新设备。在获得受害者环境的访问权限后，据观察，Scattered Spider 使用与受感染帐户相关的 Okta 权限来访问受害者公司的云和 SaaS 应用程序。

Mandiant 表示：“通过这种权限提升，威胁分子不仅可以滥用利用 Okta 进行单点登录 (SSO) 的应用程序，还可以通过使用 Okta Web 门户进行内部侦察，通过直观观察这些角色分配后可用的应用程序图块。”

为了持久性，Scattered Spider 在 vSphere 和 Azure 上创建新的虚拟机，使用它们的管理员权限并配置这些虚拟机以禁用安全保护。

接下来，他们禁用 Microsoft Defender 和 Windows 中的其他遥测功能，这些功能允许他们部署横向移动工具，例如 Mimikatz 和 IMPACKET 框架，以及允许无需 VPN 或 MFA 验证即可访问的隧道实用程序（NGROK、RSOCX 和 Localtonet）。

威胁分子使用 Airbyte 和 Fivetran 等合法的云同步工具将受害者数据移动到 Google Cloud Platform (GCP) 和 Amazon Web Services (AWS) 等知名服务的云存储中。

记录数据泄露活动

Mandiant 观察到 Scattered Spider 转向各种客户端 SaaS 应用程序进行侦察和数据挖掘，例如 vCenter、CyberArk、SalesForce、Azure、CrowdStrike、AWS、Workday 和 GCP。

威胁分子还会使用 Microsoft Office 365 的 Microsoft Office Delve 搜索和发现工具来识别活跃项目、感兴趣的讨论和机密信息。

Microsoft Office Delve 查询示例

此外，Scattered Spider 还使用端点检测和响应 (EDR) 解决方案来测试他们对环境的访问。攻击者在 CrowdStrike 的外部控制台中创建了 API 密钥，并执行了 whoami 和 quser 命令，以了解当前登录用户在系统上的权限以及远程桌面会话主机服务器上的会话。

在 CrowdStrike Falcon 上执行的命令

Mandiant 还观察到 Scattered Spider 以 Active Directory 联合服务 (ADFS) 为目标来提取证书。结合 Golden SAML 攻击，攻击者可以获得对基于云的应用程序的持久访问权限。

       防御建议

由于内部安全工具在应对基于云的应用程序的数据泄露时大多无能为力，因此公司应该实施多个检测点来识别潜在的危害。

建议重点监控 SaaS 应用程序，包括集中重要服务、MFA 重新注册和虚拟机基础设施的日志，特别关注正常运行时间和新设备的创建。

将基于主机的证书与 VPN 访问的多因素身份验证相结合，并创建更严格的访问策略来控制云租户内部可见的内容，这些措施可以限制潜在的入侵者，降低影响。

参考及来源：https://www.bleepingcomputer.com/news/security/scattered-spider-hackers-switch-focus-to-cloud-apps-for-data-theft/