在2022年開始針對Twilio、Cloudflare等上百家IT業者的員工下手,從事社交工程攻擊、網路釣魚攻擊、SIM挾持攻擊收集帳密資料,從而入侵企業內部環境,引起各界關注的駭客組織Scattered Spider(也被叫做0ktapus、Octo Tempest、UNC3944),最近轉移攻擊目標而引起研究人員的注意。

資安業者Mandiant指出,他們針對該組織持續進行追蹤發現,這些駭客在過去10個月裡,將攻擊目標轉向企業使用的SaaS應用程式,對方先是針對企業的IT服務臺(Help Desk)下手,藉由社交工程手法,得到特權帳號的初始存取管道。值得留意的是,駭客在發動攻擊之前,其實已掌握客服人員的個人識別資訊(PII),而能夠在過程裡繞過服務臺管理員的身分驗證。

這些駭客對服務臺撥打電話,聲稱他們收到了新手機,需要重設多因素驗證(MFA)機制。在與服務臺管理員互動的過程中,對方不僅能重設特權帳號的密碼,還能繞過多因素驗證防護。

在成功得到受害組織的初始存取權限後,這些駭客針對微軟應用系統進行內部偵察,並找出遠端連線的存取管道。他們經常挖掘SharePoint網站上提供的VPN、虛擬桌面基礎設施(VDI),以及遠距辦公相關的內部文件進行調查,從而濫用合法工具遠端存取受害組織的內部環境。

此外,這些駭客也濫用身分驗證系統Okta,將成功入侵的帳號加入所有與Okta串連的應用程式,從而將攻擊範圍從內部網路環境延伸到雲端的SaaS應用程式。研究人員指出,這麼做駭客不僅濫用了單一簽入(SSO)機制,還能藉由Okta管理平臺觀察這些帳號的狀態,來進一步偵察。

值得留意的是,這些駭客為了持續在受害組織活動,他們透過建立虛擬機器(VM)來達到目的。在許多攻擊行動裡,研究人員看到對方透過單一簽入存取vSphere及Azure,建立VM並藉此執行後續工作。研究人員指出,駭客這麼做的動機,主要是濫用管理群組或是應用程式綁定的管理員權限而能得逞。

為了繞過雲端服務的身分驗證機制,他們發現對方利用名為PCUnlocker的光碟映像檔,並透過vCenter將其掛載到VM使用。此外,這些駭客還會重設電腦d的管理員密碼,而能繞過網域控制。

而對於駭客存取的SaaS服務,他們指出包含了vCenter、Cyber​​Ark、SalesForce、Azure、CrowdStrike、AWS、GCP,而且,在成功入侵這類服務後,便會執行進一步的偵察,甚至會使用雲端同步工具Airbyte、Fivetran,將受害組織的資料轉移到GCP及AWS上。此外,他們也發現對方會拿EDR系統來進行測試,並鎖定Active Directory Federated Services(AD FS),從而將相關帳密用於Golden SAML攻擊。

熱門新聞

Advertisement