يمكن للمنظمات المعنية بالتأثير المحتمل للهجمات السيبرانية الناشئة عن جهة التهديد التي يتم تتبعها بشكل مختلف مثل Scattered Spider وUNC3944 و0ktapus الاستفادة من ملخصات التهديدات العالمية المجانية المتاحة من الباحثين عند بدء تشغيل الكشف عن السحابة والاستجابة لها إذن.
لقد نشطت Scattered Spider لأكثر من عام، لكنها حققت شهرة متجددة في الأسابيع القليلة الماضية من خلال سلسلة من الهجمات السيبرانية الضارة على اثنين من مشغلي الكازينوهات البارزين في لاس فيجاس – MGM Resorts وCaesars Entertainment.
ويبدو أن طريقة عملها الحالية تركز على استهداف ضحاياها من خلال تحقيق حقوق إدارية مرتفعة داخل المستأجرين السحابيين ومن ثم إجراء هجمات الهندسة الاجتماعية ضد مكاتب المساعدة الخاصة بتكنولوجيا المعلومات لتحقيق الاستمرارية.
بجانب منتجعات إم جي إم وشركة سيزرز إنترتينمنت، ويشمل علم ضحاياها في الغالب شركات Fortune 2000 في قطاعات مثل الضيافة والتصنيع وتجارة التجزئة والبرمجيات والاتصالات. ويبدو أن هدفها النهائي هو سرقة الملكية الفكرية وغيرها من البيانات بغرض الابتزاز، وقد تعمل في بعض الحالات كشركة تابعة لـ مزود برامج الفدية كخدمة (RaaS) ALPHV/BlackCat.
قامت شركة Permiso، التي تتعقب الجهة التهديدية من خلال فريق P0 Labs التابع لها تحت اسم LUCR-3، بدعم العديد من المنظمات التي تعرضت للهجوم من قبلها.
قال المؤسس المشارك للشركة والرئيس التنفيذي جيسون مارتن، الذي عمل سابقًا في FireEye لعدد من السنوات، إن Permiso تم نقله لتقديم إحاطات مجانية لأن المجموعة مشهورة بصعوبة تحديدها بدقة.
“LUCR-3 (AKA Scattered Spider) هي مجموعة تهديدية كان فريق P0 Labs يتابعها عن كثب في العام الماضي. إنهم يقومون بتنسيق الحملات عبر البيئات السحابية التي لا تمس فقط موفري خدمات الاستضافة السحابية [Microsoft] أزور أو AWS [Amazon Web Services]، ولكنها تمتد عبر موفري الهوية وبيئات SaaS المتعددة مثل CRMs [customer relationship management tools]وأدوات التعاون الجماعي ومجموعات الإنتاجية وفي CI/CD [continuous integration/continuous delivery] وأوضح مارتن.
“إنهم يغطون مساراتهم بدقة ويمكن أن يكون من الصعب اكتشافهم، لكننا تعلمنا الكثير عن TTPs الخاصة بهم [tactics, techniques and procedures] ونريد مشاركة ذلك بحرية مع المجتمع الأوسع لمساعدة المنظمات في الدفاع ضد هذه المجموعة.
كان جزء صغير من “نجاح” Scattered Spider حتى الآن هو العجز في المواقف الأمنية السحابية للعديد من المؤسسات، لا سيما فيما يتعلق برؤية وقت التشغيل. وأوضح مارتن أنه على الرغم من أن حلول المسح والتقاط اللقطات في الوقت المناسب بارعة في التركيز على وضع البيئة السحابية لضمان تكوين الموارد بشكل آمن للحماية من الهجمات البدائية، إلا أن اكتشاف الهجمات ضد البيئات في وقت التشغيل لا يزال يمثل تحديًا كبيرًا.
يتم تضخيم هذا التحدي بواسطة Scattered Spider لأنه يتحرك بسهولة وفعالية عبر حدود المصادقة على سطح الهجوم بالكامل داخل السحابة، علاوة على ذلك، نظرًا لأن الكثير من وصوله ونشاطه في السحابة يتم من خلال بيانات اعتماد مشتركة مثل الأدوار ومفاتيح الوصول والتتبع فمن الصعب بالنسبة لفرد واحد، كما أن التمييز بين مستخدم حقيقي ومجرم إلكتروني هو أمر أصعب بكثير، مما يعني أن العديد من هجمات Scattered Spider ربما لم يتم اكتشافها إلا بعد فوات الأوان.
يعد استخدام بيانات الاعتماد المشتركة بهذه الطريقة من قبل الجهات التهديدية اتجاهًا واضحًا في هذه المرحلة. كما كشف تقرير Crowdstrike الأخير، كان هناك تزايد كبير في محاولات سرقة المفاتيح السرية ومواد الاعتماد الأخرى عبر واجهات برمجة تطبيقات البيانات التعريفية للمثيلات السحابية (APIs).
يمكن للأطراف المهتمة جدولة جلسات إحاطة بشأن التهديد مع فريق P0 Labs في الوقت الذي يناسبهم. وسيقودها نائب الرئيس الأول لشركة P0 Labs، إيان أهل، الذي كان سابقًا رئيسًا للممارسات المتقدمة في Mandiant المدعومة من Google Cloud.
ومن بين أمور أخرى، ستغطي هذه الوثيقة عمليات TTP الخاصة بالعصابة، ودورها في الابتزاز من خلال سرقة البيانات، وهجماتها الأخيرة ضد بيئات سحابية متعددة. سيغطي Ahl أيضًا كيف يمكن لفرق أمان المستخدم النهائي تطوير عمليات الكشف في بيئاتهم الخاصة استنادًا إلى أنماط هجوم Scattered Spider، والخطوات الأساسية الأخرى التي يمكنهم اتخاذها لمنع الانتهاكات وتقليل أوقات المكوث.
