Le gang d’araignées dispersé a commencé à voler des données à partir d’applications SaaS (software-as-a-service) et à établir la persistance en créant de nouvelles machines virtuelles.

Également connu sous le nom d’Octo Tempest, 0ktapus, Scatter Swine et UNC3944, le gang se livre généralement à des attaques d’ingénierie sociale qui utilisent le phishing par SMS, l’échange de cartes SIM et le détournement de compte pour un accès sur site.

Araignée dispersée est le nom donné pour désigner une communauté de cybercriminels qui fréquentent les mêmes canaux Telegram, forums de piratage et serveurs Discord.

Bien qu’il y ait des rapports selon lesquels Scattered Spider est un gang organisé avec des membres spécifiques, le groupe est en fait un collectif lâche d’individus anglophones (pas nécessairement de pays anglophones) qui travaillent ensemble pour commettre des violations, voler des données et extorquer leurs cibles.

Certains d’entre eux collaborent plus fréquemment, mais il n’est pas rare qu’ils basculent entre des membres qui ont des compétences adaptées à une tâche particulière.

Dans un rapport publié aujourd’hui, la société de cybersécurité de Google, Mandiant, note que les tactiques, techniques et procédures (TTP) de Scattered Spider se sont étendues à l’infrastructure cloud et aux applications SaaS pour voler des données à des fins d’extorsion sans chiffrer les systèmes.

“[…] UNC3944 est passé principalement à l’extorsion de vol de données sans l’utilisation de ransomware. Ce changement d’objectifs a précipité une expansion des industries et des organisations ciblées, comme en témoignent les enquêtes de Mandiant”, affirment les chercheurs.

Attaques sur les applications SaaS
Scattered Spider s’appuie sur des techniques d’ingénierie sociale qui ciblent souvent les agents du service d’assistance de l’entreprise pour tenter d’obtenir un accès initial à un compte privilégié. L’auteur de la menace est bien préparé avec des informations personnelles, des titres de poste et des noms de responsable pour contourner les processus de vérification.

L’auteur de la menace prétend être un utilisateur légitime nécessitant une assistance pour réinitialiser l’authentification multifacteur (MFA) afin de configurer un nouvel appareil.

Après avoir accédé à l’environnement d’une victime, Scattered Spider a été observé pour utiliser les autorisations Okta associées au compte compromis pour accéder aux applications cloud et SaaS de l’entreprise victime.

« Avec cette élévation de privilèges, l’auteur de la menace pouvait non seulement abuser des applications qui exploitent Okta pour l’authentification unique (SSO), mais également effectuer une reconnaissance interne via l’utilisation du portail Web Okta en observant visuellement quelles tuiles d’application étaient disponibles après ces attributions de rôles, » – Mandiant

Pour la persistance, Scattered Spider crée de nouvelles machines virtuelles sur vSphere et Azure, en utilisant leurs privilèges d’administrateur et en configurant ces machines virtuelles pour désactiver les protections de sécurité.

Ensuite, ils désactivent Microsoft Defender et d’autres fonctionnalités de télémétrie dans Windows qui leur permettent de déployer des outils de déplacement latéral, tels que Mimikatz et le framework IMPACKET, ainsi que des utilitaires de tunneling (NGROK, RSOCX et Localtonet) qui permettent l’accès sans avoir besoin de VPN ou vérification MFA.

L’auteur de la menace utilise des outils légitimes de synchronisation dans le cloud tels qu’Airbyte et Fivetran pour déplacer les données des victimes vers leur stockage dans le cloud sur des services réputés tels que Google Cloud Platform (GCP) et Amazon Web Services (AWS), selon les chercheurs.

Activité d’exfiltration de données de capture de journaux

Mandiant a observé Scattered Spider pivoter vers diverses applications SaaS clientes pour la reconnaissance et l’exploration de données, par exemple vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS, Workday et GCP.

Par exemple, l’auteur de la menace a utilisé l’outil de recherche et de découverte Microsoft Office Delve pour Microsoft Office 365 pour identifier les projets actifs, les discussions d’intérêt et les informations confidentielles.

Exemple de requête Microsoft Office Delve

De plus, Scattered Spider a utilisé des solutions de détection et de réponse aux points finaux (EDR) pour tester leur accès à l’environnement. L’attaquant a créé des clés API dans la console externe de CrowdStrike et exécuté les commandes whoami et quser pour connaître les privilèges de l’utilisateur actuellement connecté sur le système et les sessions sur un serveur hôte de session de bureau à distance.

Commandes exécutées sur CrowdStrike Falcon

Mandiant a également observé une araignée dispersée ciblant les services fédérés Active Directory (ADFS) pour extraire les certificats. Couplé à une attaque SAML en or, l’acteur pourrait obtenir un accès persistant aux applications basées sur le cloud.

Recommandations de la défense
Étant donné que les outils de sécurité sur site sont pour la plupart impuissants en matière d’exfiltration de données à partir d’applications basées sur le cloud, les entreprises doivent implémenter plusieurs points de détection pour identifier une compromission potentielle.

Mandiant recommande de se concentrer sur une meilleure surveillance des applications SaaS, ce qui inclut la centralisation des journaux des services importants, les réenregistrements MFA et l’infrastructure des machines virtuelles, en accordant une attention particulière à la disponibilité et à la création de nouveaux appareils.

Combiner des certificats basés sur l’hôte avec une authentification multifacteur pour l’accès VPN et créer des politiques d’accès plus strictes pour contrôler ce qui est visible à l’intérieur d’un locataire cloud sont des actions qui pourraient limiter un intrus potentiel et l’impact d’une compromission.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *