UNC3944 (también conocido como Scattered Spider, 0ktapus, Octo Tempest o Scatter Swine) tiene más de un truco malicioso bajo la manga. Rastreado por Mandiant desde mayo de 2022, este grupo de cibercriminales ha llevado a cabo ataques de intercambio de SIM y Ingeniería social dirigida a servicios de atención al cliente de empresas de telecomunicaciones y de externalización de procesos empresariales Sus principales especialidades. En un último informe, la filial de Google Cloud especializada en ciberseguridad destaca los ataques de esta banda cibernética contra aplicaciones SaaS en los últimos 10 meses y ofrece un panorama de la evolución de sus tácticas, técnicas y procedimientos (TTP) en función de los objetivos perseguidos.
"Un aspecto de estas intrusiones implica un método de persistencia más agresivo que se produce a través de la creación de nuevas máquinas virtuales", explicar El proveedor. "En varias instancias, Mandiant observó que UNC3944 accedía a vSphere y Azure, utilizando aplicaciones de inicio de sesión único, para crear nuevas máquinas virtuales desde las que realizaban todas las actividades de seguimiento. Lo importante aquí es la observación del uso indebido de los grupos de administración o los permisos de administrador normales relacionados con las aplicaciones de inicio de sesión único para luego crear este método de persistencia". Una vez creadas, estas nuevas máquinas virtuales se reconfiguran con varias herramientas como MAS_AIO y privacy-script.bat para deshabilitar ciertas medidas de seguridad y privacidad, incluido Microsoft Defender.
El ransomware ALPHV se implementa en hipervisores ESXI
Para ello, la banda cibernética descarga herramientas como Mimikatz, ADRecon y varias herramientas de tunelización encubierta como NGROK, RSOCX y Localtonet. ¿El objetivo? Obtener acceso a un sistema sin tener que utilizar una VPN o MFA. Otras herramientas utilizadas en su actividad de compromiso incluyen la instalación de bibliotecas de Python, como IMPACKET. Para eludir las comprobaciones de autenticación, UNC3944 utiliza un archivo ISO (PCUnlocker) que se adjunta a las máquinas virtuales existentes a través del dispositivo vCenter para restablecer las contraseñas del administrador local, eludiendo así las comprobaciones de dominio normales. "Esta ISO requiere un reinicio y un cambio de configuración del BIOS para arrancar en esta imagen montable para eludir eficazmente las comprobaciones de dominio. Monitorear el tiempo de actividad de las máquinas virtuales, o incluso los impactos breves, proporcionarían posibles oportunidades de detección", explica Mandiant.
En el marco de su investigación, la firma de ciberseguridad también descubrió que la banda cibernética implementó el ransomware ALPHV contra sistemas de archivos de máquinas virtuales, en los propios hipervisores ESXI, con el fin de provocar acciones destructivas dentro de un entorno. "Como resultado, las máquinas virtuales implementadas por el atacante generalmente están cifradas y se destruyen las pruebas de actividad dentro de la red", advierte Mandiant. Sin embargo, desde principios de año, la filial de Google no ha observado ningún exploit que explote este vector de ataque, lo que no le impide llamar a la vigilancia: "Las pruebas han demostrado que la actividad observada en los entornos de las víctimas tenía como objetivo principal descubrir infraestructuras clave y posibles objetivos de exfiltración, como bases de datos y contenido web. Una vez localizados, los datos se exfiltraban a través de estas máquinas virtuales a varios recursos de alta reputación como Google Cloud Platform y Amazon Web Services", continúa Mandiant.
Credenciales robadas para acceder a aplicaciones SaaS
En su informe, la filial de Google Cloud también indica que encontró que UNC3944 utilizó credenciales robadas para acceder a aplicaciones SaaS protegidas por proveedores de SSO. Con la clave para acceder de forma ilegítima a muchas aplicaciones de AWS, Azure, Crowdstrike, CyberArk, GCP, Salesforce, vCenter y Workday. Mandiant observó el uso de herramientas de detección y respuesta para probar el acceso al entorno y la exfiltración de datos a través de utilidades de sincronización en la nube, como Airbyte y Fivetran para moverlos, por ejemplo, a buckets S3 controlados por la banda cibernética.
Sin embargo, frente a la evolución del modus operandi de la banda cibernética UNC3944, las empresas no están completamente indefensas. Por ello, Mandiant está presionando para que se tomen algunas medidas para mitigar la persistencia y las capacidades de acceso de sus ataques en un entorno objetivo. La empresa recomienda utilizar tanto certificados basados en host como autenticación multifactor para cualquier acceso VPN. "Además, la creación de políticas de acceso condicional más estrictas para controlar lo que es visible dentro de una instancia de nube puede limitar el impacto general", asegura Mandiant. Otras recomendaciones incluyen: "un mayor seguimiento de las aplicaciones SaaS, con el fin de centralizar los registros importantes de las aplicaciones SaaS, los nuevos registros de MFA y la infraestructura de máquinas virtuales, en particular en lo que respecta al tiempo de actividad y la creación de nuevos sistemas". [...] En el caso de las aplicaciones que contienen información confidencial o protegida, asegúrese de que las organizaciones tengan una capacidad de registro sólida que sus equipos de seguridad puedan revisar para detectar señales de intenciones maliciosas".
Otras noticias que te pueden interesar