باحثو التهديد في ReliaQuest قمنا بمشاركة المعلومات الاستخبارية حول كيفية تأثر أحد عملاء المؤسسة بهجوم إلكتروني نشأ عبر مجموعة Scattered Spider التي تخصصت في إساءة استخدام خدمات الهوية والتوثيق لمهاجمة ضحاياه، و ترك رجال الشرطة يكافحون من أجل الرد.
يتم أيضًا تعقب المجموعة الناطقة باللغة الإنجليزية شديدة الخطورة بأسماء مثل UNC3944، 0ktapus، مبعثر الخنازير و اوكتو تيمبيستومعروف بالهجمات المستهدفة والدقيقة والتكتيكات العدوانية، وحتى اللجوء إلى التهديد بالعنف ضد ضحاياها. كما أصبح مؤخرًا إحدى الشركات التابعة لعصابة برامج الفدية ALPHV/BlackCat، تطور غير عادي للغاية.
“لقد ظهرت Scattered Spider مؤخرًا كمجموعة جرائم إلكترونية كبيرة تركز على تعريض المؤسسات الكبيرة للخطر،” كتب جيمس شيانغ من ReliaQuest في ورقة عمل نُشرت اليوم.
“يسلط هذا التقرير الضوء على حجم وعمليات المجموعة، التي امتدت إلى مختلف القطاعات والمناطق. وقد أثبتت المجموعة أيضًا قدرتها على إساءة استخدام الموارد في البيئات المعرضة للخطر، واكتشاف ناقلات هجوم إضافية للتسلل بشكل أعمق.
“TTPs العنكبوتية المتناثرة [tactics, techniques and procedures] وقال: “إنها ذات أهمية كبيرة لمشهد التهديدات الأوسع ولعملاء ReliaQuest، حيث يتم دعم الهجمات من خلال الثغرات في التعريف وعدم كفاية سياسات التحقق من المستخدم في مكتب المساعدة”. “تقوم Scattered Spider بتدوير التطبيقات واستهدافها بدقة ملحوظة، وذلك باستخدام الوصول إلى وثائق تكنولوجيا المعلومات الداخلية من أجل حركة جانبية فعالة للغاية.
وقال شيانغ: “عندما تصبح الجهات الفاعلة الأخرى في مجال التهديد أكثر تطوراً وتتعلم من الأنماط الناجحة، فإنها ستكون قادرة على استغلال عمليات TTP مماثلة”. “بالنظر إلى التهديد الكبير الذي تشكله Scattered Spider والمجموعات المتطورة والماهرة المماثلة – والعواقب الوخيمة المحتملة – يجب على المؤسسات اتخاذ التدابير المناسبة لحماية نفسها.”
تم تنبيه العميل، الذي لا يمكن الكشف عن هويته، لأول مرة إلى نشاط المجموعة في أوائل سبتمبر، عندما عثر مؤشر رجعي آلي لمطاردة التهديدات (IoC) على عنوان IP كانت العصابة تستخدمه سابقًا لإجراء عمليات التسلل. وعثر التحقيق الإضافي على المزيد من الأدلة على أدوات العصابة وبعض تقنيات TTP الجديدة.
كيف وقع الهجوم
كان ناقل الوصول الأولي لـ Scattered Spider من خلال البيئة السحابية للعميل، حيث تمكن من الوصول إلى حساب مسؤول تكنولوجيا المعلومات باستخدام Okta Single Sign-on (SSO)، بعد إعادة تعيين بيانات الاعتماد الخاصة به في هجوم الهندسة الاجتماعية.
من خلال الحصول على أوراق الاعتماد هذه، أجروا ما يُعرف باسم هجوم إرهاق المصادقة متعددة العوامل (MFA) حيث تم مهاجمة الضحية بتحديات MFA – أربعة في غضون دقيقتين – وأدى آخرها إلى المصادقة الناجحة والعلامة اللاحقة -تشغيل جهاز جديد من عنوان IP موجود في فلوريدا تم تحديده لاحقًا على أنه IoC بواسطة Okta.
ومن الجدير بالذكر أنه من خلال استخدام عنوان IP أمريكي دون اتصال بالبنية التحتية لشبكة VPN، تمكنت Scattered Spider من التهرب من القواعد التي تثير تنبيهات عمليات تسجيل الدخول من مواقع أو بنية تحتية مراوغة، ومن المحتمل أن تكون هذه خطوة أمنية تشغيلية (opsec). لقد نجحوا في هذا لأن Okta لم تضع علامة على تسجيل الدخول.
ثم قاموا بعد ذلك بتسجيل جهاز MFA جديد لتحقيق الاستمرارية، واستخدموا لوحة معلومات Okta SSO للتمحور حول Microsoft 365 وMicrosoft Azure Active Directory (AD) الخاصين بالضحية. وفي هذه العملية، بحثوا عن الملفات والأدلة في منصة SharePoint الخاصة بالضحية والتي أعطت المزيد من المعلومات، مما مكنهم من التعمق أكثر. هذه المعلومات، بما في ذلك معلومات حول البنية التحتية لسطح المكتب الافتراضي (VDI) للضحية، وسياسات إدارة IAM وكلمات المرور المميزة، وخوادم المحاكاة الافتراضية، وبنية الشبكة، وحتى وثائق التخطيط والميزانية الإلكترونية الخاصة بهم.
ثم قامت Scattered Spider بالتمحور مرة أخرى، باستخدام Okta SSO للمصادقة على Citrix Workspace – مع انتقال تحدي MFA المتوقع إلى الجهاز الذي تم تسجيله. وقالت ReliaQuest إنها عثرت على أدلة على أن العصابة قامت بإجراءات إضافية في البيئة الداخلية بعد الوصول إلى Citrix.
وقال شيانغ: “إن الانتقال السريع بشكل مدهش من البيئة السحابية إلى البيئة المحلية هو مسار هجوم فريد من نوعه، مما يشير إلى المعرفة المتقدمة لأعضاء المجموعة بكلتا البيئتين”.
“ينبع هذا الفهم المتعمق من مزيج من المعرفة الموجودة مسبقًا والمعلومات الإضافية المستمدة من الملفات والمستندات أثناء عملية الاقتحام. وكان الوقت الذي استغرقته المجموعة للتحول من البيئة السحابية للعميل إلى البيئة المحلية أقل من ساعة واحدة.
من بين الأحداث الناشئة عن اختراق Citrix، كان الوصول إلى ملف محفوظ في حاوية AWS S3 الخاصة بالضحية، مما مكنهم من الوصول إلى قبو LastPass الخاص بالضحية. لاحظ محققو ReliaQuest أيضًا العديد من أعطال التطبيقات، والتي من المحتمل أن تكون نتيجة لمحاولة Scattered Spider نشر منارة، وأحداث تنفيذ عملية مشبوهة مرتبطة بمحاولات حقن العملية واستخدام بروتوكول سطح المكتب البعيد (RDP) للتنقل بين المضيفين.
وفي الوقت نفسه، في أوكتا
ثم غيرت العصابة تركيزها مرة أخرى إلى Okta، مستفيدة من حساب مهندس البنية التحتية الذي عمل أيضًا كمهندس المحاكاة الافتراضية للعميل، والمصادقة عبر MFA من نفس عنوان IP فلوريدا الذي تمت ملاحظته من قبل. قام هذا المستخدم أيضًا بفحص بيانات اعتماد CyberArk للحصول على مجلد بيانات اعتماد VMware VCenter.
وفي الوقت نفسه، تم مصادقة حساب مسؤول تكنولوجيا المعلومات الثاني من نفس عنوان IP بعد إعدادات مسؤول Okta وAzure AD للضحية – من المحتمل أن يكون هذان الحسابان قد تم اختطافهما عبر إرهاق MFA. تم حظر حساب المسؤول بواسطة Okta بسبب القيام بالكثير بسرعة كبيرة جدًا وانتهاك حدود المعدلات الخاصة به، ولكنه تمكن لاحقًا من الوصول إلى صفحات إدارة نظام Okta وقام بتنفيذ عدد من الإجراءات المشبوهة في Azure AD أيضًا، وتكوين الوصول إلى واجهة برمجة التطبيقات (API)، وتحديث إعدادات Azure Portal ، وحتى إجراء تغييرات على الفواتير.
في اليوم التالي، تمت ملاحظة قيام حساب المهندس المعماري بتكوين Okta مع موفر هوية ثانوي (IdP) والذي أتاح انتحال شخصية Okta للمستأجر المشترك لمستخدم مميز. أوضحت ReliaQuest أن هذا سيسمح لهم بالمصادقة على بيئة Okta الخاصة بالضحية من خلال IdP الخاص بهم، وبالتالي اكتساب القدرة على انتحال شخصية أي حساب Okta واستخدامه، مما يعزز استمرارهم بشكل أكبر.
في هذه الحالة، استخدموا موفِّر الهوية الجديد للمصادقة كمهندس أمان، على الرغم من أنهم أثناء القيام بذلك أخطأوا في تكوين كيفية مطابقة موفِّر الهوية الخارجي لسمات المستخدم مع مستأجر Okta للضحية، مما أدى إلى ظهور أخطاء لهم لاحقًا.
بعد ذلك، مع وجود حسابات الخدمة المخترقة لـ Azure SQL Data Warehouse الخاص بالضحية، عادت إلى البيئة المحلية، حيث قام Scattered Spider بتنزيل أدوات متعددة لتحقيق الثبات وتصفية البيانات، بما في ذلك أدوات المراقبة والإدارة عن بعد (RMM) المتعددة، الوكلاء العكسيون، وما إلى ذلك، غالبًا من مواقع الويب الشرعية ومستودعات GitHub الافتراضية. تمت ملاحظة عملية التسلل النهائية لبيانات الضحية عبر عنوان IP الأصلي الذي تمت ملاحظته في عملية البحث عن التهديدات الأولية، وعند هذه النقطة وصل تحليل ReliaQuest إلى نهايته – على الرغم من أنه قال: “تشير التقارير الإضافية من قبل العميل إلى أن المهاجمين حققوا أهدافهم بنجاح” استخراج البيانات والتشفير على نطاق واسع.
وقال شيانغ: “نتوقع، بثقة عالية، أن تستمر هجمات Scattered Spider على المدى الطويل (أكثر من عام واحد). يعد النشاط المستمر للمجموعة بمثابة شهادة على قدرات ممثل التهديد أو المجموعة ذات المهارات العالية التي تتمتع بفهم معقد للبيئات السحابية والمحلية، مما يمكنهم من التنقل بشكل متطور.
وخلص إلى القول: “لقد لاحظنا مؤخرًا تسللًا آخر يبدو أنه مرتبط بـ Scattered Spider”. “لقد استخدم المهاجم نفس إجراءات الهندسة الاجتماعية واكتشاف الملفات كما رأينا في هجمات Scattered Spider السابقة. على الرغم من أنهم لم يتمكنوا من الوصول إلى الموارد الحيوية، فمن الواضح أنه طالما ظلت ناقلات الوصول الأولية المفضلة لـ Scattered Spider غير مخففة، فإن الهجمات ستستمر.
توصيات ريلايكويست
قدمت ReliaQuest عددًا من قواعد الكشف الموجهة إلى نواقل الهجوم التي شوهدت في عملية الاختراق المذكورة أعلاه، متاح هنا، وقدم عدداً من التوصيات. وتشمل هذه:
- إيلاء المزيد من الاهتمام للتسجيل المركزي والرؤية لإنشاء رؤية أكثر شمولاً لما يحدث (والجدول الزمني للمحققين)، نظرًا للتحول السريع من البيئات السحابية إلى البيئات المحلية؛
- الانضمام إلى مبادئ الامتياز الأقل – مهم بشكل خاص نظرًا لإساءة استخدام حقوق المشرف المتميز لـ Okta؛
- وإدخال سياسات تحقق أكثر صرامة لهويات مكتب المساعدة القيّمة لتكنولوجيا المعلومات، خاصة عندما يتعلق الأمر بإعادة تعيين بيانات الاعتماد.
