Especialistas descreveram métodos para imitar as estratégias do grupo de ameaças persistentes (APT), em uma análise recente aprofundada da empresa de segurança cibernética Lares, permitindo que as empresas fortalecem suas defesas por meio de cooperação adversária.
Lares é especialista em emulação de ameaças, replicando táticas, técnicas e procedimentos do mundo real observados em atividades cibercriminais.
Ao dissecar incidentes como os orquestrados por aranha dispersa, a empresa projeta simulações controladas para avaliar a segurança de rede, endpoint e nuvem, identificando vulnerabilidades na resposta a incidentes e postura geral.
Essa abordagem integra hackers éticos, equipes vermelhas e modelagem de ameaças para fornecer inteligência acionável, permitindo que os clientes experimentem cenários práticos envolvendo engenharia social, roubo de credenciais e mecanismos de persistência que refletem adversários sofisticados.
Operações sofisticadas da aranha espalhada
A Aranha dispersa, uma APT de motivação financeira emergente em maio de 2022, inicialmente direcionada para setores de terceirização de telecomunicações e processos de negócios antes de expandir para hospitalidade, varejo, saúde e aviação.
Compreendendo jovens membros nativos de língua inglesa de 19 a 22 anos dos EUA e do Reino Unido, o grupo se destaca em engenharia social, empregando trocas de sim, phishing e exploração da fraca verificação para os sistemas infiltrados.
Ligado a violações de alto perfil, como os incidentes de entretenimento de 2023 Mgm Resorts e Caesars, que causaram o caos operacional e os pagamentos de resgate, Aranha espalhada Muitas vezes, serve como um corretor de acesso inicial para afiliados de ransomware como Blackcat/ALPHV e Dragonforce.
Seus aliases incluem UNC3944 (Mandiant), Octo Tempest (Microsoft) e outros, refletindo sua notoriedade.
Com a experiência em plataformas em nuvem como Microsoft Azure, Google Workspace e AWS, eles combinam proezas técnicas com táticas enganosas para representar um risco significativo entre os setores.
Táticas e emulação
A cadeia de ataques do grupo começa com o reconhecimento, utilizando a inteligência de código aberto (OSINT) de plataformas como o LinkedIn para mapear estruturas de funcionários e explorar conjuntos de dados violados.
Eles registram domínios enganosos padronizados como TargetsName Sso[.]com ou similares, alavancando redes de entrega de conteúdo (CDNs) e domínio para a ofuscação, conforme observado nos recentes avisos da CISA.
O acesso inicial depende muito de Engenharia Socialincluindo Smishing, Vishing e Phishing para instalar ferramentas de acesso remoto (ratos), juntamente com o desvio do MFA por meio de swaps de bombardeio ou SIM.
A escalada de privilégios envolve roubo de credenciais em nuvem com ferramentas como o AWS Console ou Microburst, traga seus próprios ataques de driver vulnerável (BYOVD) usando carregadeiras como chapado e drivers como pobre e exploração de erros de credores do Active Directory.
As táticas de evasão de defesa incluem os processos de detecção e resposta de pontos de extremidade (EDR) por meio de motoristas vulneráveis e assinar binários maliciosos com certificados roubados, enquanto cria instâncias em nuvem para movimentos laterais furtivos.
De acordo com o relatórioO acesso de credenciais emprega o dumping LSASS com procdump, exploração de voltas e dcsync para extração de ntds.dit.
As fases de descoberta usam ferramentas de digitalização como RushScan ou Advanced Port Scanner, ao lado de Microburst para auditoria do Azure e ferramentas nativas como o GerencieEngine para reconhecimento de baixo perfil.
O movimento lateral aproveita as sessões de SSO, RDP, proxificador para redirecionamento de tráfego e abusos de políticas da AWS IAM para girar nos ambientes.
Os métodos de exfiltração variam de acordo com o volume de dados: telegrama para arquivos de alto valor, rclone e megasync para transferências a granel e explorador de armazenamento para repositórios em nuvem.
A pesquisa de Lares enfatiza emular esses fluxos do acesso inicial à exfiltração e testar a resiliência organizacional, destacando lições para abordar a engenharia social, as erros incorretos da nuvem e os abusos dos privilégios.
Ao simular proativamente essas ameaças, as organizações podem passar de medidas reativas para defesas fortificadas, garantindo a prontidão contra os apts em evolução, como aranha dispersa.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!