Vectra AI Briefing sur les menaces : Araignée éparpillée

2 avril 2024
Vectra AI L'équipe produit
Vectra AI Briefing sur les menaces : Araignée éparpillée

Récemment, nous avons reçu de nombreuses demandes pour en savoir plus sur le groupe de pirates informatiques Scattered Spider. Nous l'étudions depuis un certain temps car s'il y a un groupe de menace qui représente la raison pour laquelle nous construisons notre produit, c'est bien ce groupe. Ils sont méchants, ils sont mauvais, et ils apportent beaucoup d'outils à la table qui poussent vraiment les défenseurs.

Aujourd'hui, nous allons vous expliquer qui ils sont, quelles sont les techniques qu'ils utilisent et où ils se trouvent dans le monde. Nous espérons que cela vous aidera à comprendre les options disponibles pour vous défendre contre ces types d'attaques.

Qui est Scattered Spider ?

Il s'agit d'un groupe de cyber-attaquants actuellement actif qui porte de nombreux noms. Vous pouvez les entendre sous les noms de Starfraud, UNC3944, Scatter Swine, Octo Tempest, Muddled Libra et, bien sûr, Scattered Spider. Scattered Spider est l'appellation la plus courante. Ils se sont fortement concentrés sur le développement de playbooks qui aboutissent à des attaques reproductibles ayant un taux de réussite élevé. Ces attaques sont principalement axées sur l'identité.

Nous voyons beaucoup d'attaquants utiliser l'identité, mais Scattered Spider est devenu très efficace pour trouver des moyens de contourner le MFA et d'entrer par le biais des identités cloud . En fin de compte, ils se transforment en attaques de type " living-off-the-land " qui couvrent toute la gamme de l'entreprise : cloud, le réseau, tout ce que notre identité touche, ils sont capables de le traverser et d'interagir avec lui.

Vous entendrez souvent parler de Scattered Spider en même temps que d'ALPHV Blackcat. Cela s'explique par le fait qu'ils appartiennent au groupe des ransomware-as-a-service-affiliate. ALPHV Blackcat a son propre espace, qui est distinct de Scattered Spider, mais il est intimement lié à Scattered Spider et mérite d'être compris. On ne peut parler de l'un sans parler de l'autre.  

Que fait Scattered Spider ?

Ces groupes ont l'habitude des attaques traditionnelles et hybrides sur les environnements d'entreprise cloud . Ils vont trouver des moyens de cibler les données là où elles ont le plus de valeur. Ils vont trouver des moyens de cibler les données là où elles ont le plus de valeur. Cela signifie qu'il n'y a pas une seule zone du réseau ou du site cloud que vous devez surveiller ; l'attaquant s'en prend à l'ensemble de l'environnement.

En ce qui concerne cet attaquant et ce qu'il fait, il s'agit d'un groupe de ransomware. Sa stratégie est axée sur le déni de service et l'extorsion de données volées. Dans ce contexte, le déni de service n'est pas un DDoS. Il ne s'agit pas simplement d'interrompre le fonctionnement d'un système. Il s'agit d'arrêter les opérations de l'intérieur en chiffrant les systèmes, en bloquant l'accès et en faisant en sorte qu'il soit difficile de faire des affaires à cause de leurs actions. En fin de compte, ils emportent les données hors site et exigent un paiement ou menacent de divulguer les données dans le monde entier ou de les utiliser contre vous. Il s'agit d'une véritable extorsion de fonds qui vient s'ajouter au déni de service.

Il existe de nombreux acteurs du secteur des ransomwares, mais Scattered Spider attire l'attention en raison de son association avec ALPHV Blackcat, dont les exigences en matière de ransomwares sont parmi les plus élevées du paysage actuel.  

Les rançongiciels en tant que modèle économique

Scattered Spider est un groupe d'attaquants. Ce sont eux qui mènent les attaques. Ils font partie d'un modèle commercial de ransomware dans lequel ils agissent en tant qu'affiliés d'un fournisseur qui leur fournit des outils et des techniques pour mener à bien une attaque. C'est pourquoi ALPHV Blackcat est souvent mentionné dans le même souffle, parce qu'il s'agit de leur fournisseur d'outils et qu'il existe une relation étroite entre l'affilié et le fournisseur.

  

Il y a une tierce partie qui se trouve également du côté d'un courtier d'accès à l'identité qui ajoute au mélange, mais en fin de compte, c'est Scattered Spider qui mène ces attaques. Scattered Spider dispose de ses propres outils, mais il exploite également des points de contrôle prêts à l'emploi, ces technologies que le fournisseur met en œuvre. C'est ce dernier qui, en fin de compte, négocie et gère les fuites de données. Il existe donc une relation très étroite entre les deux parties.  

L'état actuel d'ALPHV Blackcat et son impact sur Scattered Spider

En raison de cette relation permanente, les attentes de Scattered Spider ont évolué à court terme. ALPHV Blackcat a effectivement disparu du marché, du moins de nom, lorsqu'il a été démantelé par les opérations du FBI. Cela ne l'a pas empêché d'exister en tant que fournisseur de ransomware. Son site web a été fermé, mais il est revenu, et une fois revenu, il a été immédiatement impliqué dans l'incident de Change Healthcare.

Ce qui s'est passé en fin de compte, c'est que de l'argent a été transféré/un ransomware a été payé, et ALPHV Blackcat a pris l'argent associé à l'affilié et s'est enfui. Normalement, l'exécuteur du ransomware est payé, mais ALPHV Blackcat s'est enfui et est entré dans la clandestinité. Dans ce genre de cas, l'attaquant finit par changer de marque et les outils sont distribués différemment. Cela dit, il est probable que le mode de fonctionnement de Scattered Spider et les outils spécifiques qu'il utilise évoluent.  

Du point de vue de Vectra AI, nous avons vu des acteurs de ransomware similaires dans le passé, et divers services SaaS qui sont dans l'espace ransomware et connaissent bien leur mode de fonctionnement. Grâce à l'accent mis sur la couverture comportementale, Vectra AI reste très efficace pour détecter les principales techniques utilisées par les fournisseurs de ransomwares, y compris les autres fournisseurs présents sur le marché. Cela inclut d'autres fournisseurs sur le marché de ces outils de ransomware, sans la fonctionnalité de base que Scattered Spider, en tant que groupe, a développée de son côté.  

CloudAttaques d'araignées dispersées -centriques

Passons en revue quelques exemples documentés de ce que sont ces attaquants et de ce que fait ce groupe pour comprendre le degré de sophistication de la situation.  

scattered-spider-hybrid-attack-path (araignée dispersée - chemin d'attaque hybride)
Image basée sur la documentation de Mandiant SIM swapping

Dans cette attaque, Scattered Spider a commencé par compromettre l'identité en utilisant l'hameçonnage par SMS et l'échange de cartes SIM. Il s'agit d'une technique qui permet effectivement à un attaquant de contourner le MFA et de se connecter à une identité. Il y a d'autres façons de procéder, mais celle-ci est une méthode efficace qui a bien fonctionné pour ce groupe et certains autres acteurs actifs de la menace.  

Bien qu'il y ait des indications que la connexion est suspecte et des moyens de la détecter, l'hameçonnage par SMS est une voie qui permet l'accès, et peut contourner la prévention, et ils sont en mesure de se connecter. Dans ce scénario, ils accèdent à un compte d'administration Azure et commencent immédiatement à interagir avec Azure et à découvrir le paysage. Ensuite, ils interagissent avec les différents outils de la plateforme Azure. Ils commencent à mettre des outils sur les points d'extrémité disponibles, les VMS qui ont été déployés dans Azure, pour faire de la reconnaissance de manière efficace du point de vue de la plateforme en tant que service.

Tout cela conduit l'attaquant à tracer un chemin à partir de l'IaaS lui-même. Comme il existe une fonctionnalité dans Azure (en fait dans tout type de déploiement de VM de Microsoft) appelée console série, ils ont pu exécuter un code arbitraire sur l'AVM. Il s'agit essentiellement d'un outil de gestion à distance. Cela permet à l'attaquant d'exécuter des commandes comme un SSH inversé à partir de n'importe quel point d'extrémité qui est une VM dans cet Azure cloud.

Ce qui a commencé par une compromission de l'identité s'est déplacé vers cloud, puis de la plate-forme en tant que service vers la partie IaaS, à partir de laquelle la fonctionnalité traditionnelle du ransomware entre en jeu. Le C2 est déployé, le mouvement latéral via les connexions RDP se produit, l'escalade des privilèges et les tactiques traditionnelles que nous voyons chez les acteurs du ransomware lorsqu'ils se déplacent dans un réseau, toutes sont maintenant en jeu après cette infiltration plus nuancée sur cloud . Cela conduit finalement l'attaquant à commettre un vol de données et à avoir un impact encore plus important.

Trajectoire d'attaque de l'araignée dispersée cloud - le point de vue du défenseur

 

scattered-spider-azure-attack-path

Voici une vue plus détaillée de ce qui vient de se passer. Notre crâne au milieu représente l'attaquant. Il atteint l'identité Entra ID par le biais d'un hameçonnage par SMS. Il s'en sert pour accéder à la plate-forme Azure en tant que service et l'utilise pour se connecter directement à Azure IaaS, où il peut déployer la commande et le contrôle qui ont amené l'attaquant dans l'IaaS. Ils sont capables de couvrir de multiples surfaces d'attaque tout au long de leur attaque avec une prévention minimale qui peut les arrêter. C'est ce type d'attaque, pas le seul, mais le type d'attaque qui représente les techniques qui entrent en jeu. L'identité dans cet exemple n'était qu'une des techniques de Scattered Spider.  

Scattered Spider est très efficace pour accéder à l'identité et en abuser.

Le diagramme ci-dessous montre quelques vues différentes des techniques d'identité documentées sur le site cloud . Il y a la vision traditionnelle de MITRE des techniques d'identité dont dispose Scattered Spider sur le site cloud: SIM swap, MFA bombing, voice phishing, etc. Ils enregistrent la persistance une fois qu'ils ont contourné le MFA et ils peuvent le faire au niveau de l'appareil et du locataire. Ils peuvent manipuler les comptes et commencer à récolter des données. En fin de compte, ce ne sont pas seulement les tactiques d'identité qui sont en jeu, elles couvrent toute la gamme de l'espace de l'attaquant.

Vue complète MITRE ATT&CK de l'araignée dispersée

Les arcs clés à noter ici se concentrent sur le fait de vivre de la terre : utiliser l'identité pour pivoter entre les domaines qui les intéressent et permettre la persistance. Ils exécutent le cahier des charges standard des ransomwares que nous connaissons bien, comme l'utilisation de canaux C2, souvent avec des outils commerciaux d'accès à distance ou des logiciels tiers. Ils ne développent pas de charges utiles farfelues ; ils n'en ont pas besoin. Ils utilisent plutôt un modèle de ransomware en tant que service avec des outils qui ont été validés dans d'autres endroits. Ils utilisent des outils tels que Mimikatz, le mouvement latéral, le RDP comme n'importe quel autre acteur du ransomware, et AD lorsqu'ils s'attaquent à Impact/Exfil, tel est leur cahier des charges.

MITRE-ATT&CK-vue de l'araignée dispersée

Vectra AI MITRE ATT&CK cloud couverture de l'identité de Scattered Spider

Vectra AI surveille Scattered Spider depuis un certain temps. Nous surveillons les groupes de ransomware dans cette activité de ransomware-as-a-service depuis un certain temps maintenant et notre couverture a été efficace dans ces types d'attaques. À titre d'exemple, voici la matrice d'identité liée à notre couverture.

Vectra-ai-mitre-attck-coverage

Vectra AI offre une couverture complète du côté de cloud pour l'identité. Cela va de l'enregistrement à la manipulation de la confiance dans le domaine, en passant par les événements d'accès, etc. Nous avons été en mesure de construire une couverture qui a un impact réel sur l'identification de l'attaquant et de ce qu'il fait. Pour vous donner une idée, voici quelques exemples de cas pertinents pour cet espace d'attaque.

Exemple d'attaque 1

Il s'agit d'une attaque anonyme qui rappelle les techniques documentées dans les premiers événements d'une attaque de type Scattered Spider.

Vectra-AI-detects-early-stage-compromise (en anglais)

L'attaquant semble procéder à un hameçonnage ciblé. Il peut s'agir d'un kit d'hameçonnage qui leur a permis de contourner le MFA : un autre type de logiciel vendable qui existe sur le marché. Ils se sont connectés via le compte Entra ID et ont décidé d'ajouter la persistance. Cela signifie qu'ils allaient enregistrer un appareil, car si vous volez un simple jeton, vous n'y avez qu'un accès temporaire.

Il s'agit d'un cas réel qui a été identifié par le service Vectra MDR. Il a été repéré dans les 5 premières minutes de l'attaque et arrêté. L'attaquant aurait eu de nombreuses occasions de causer des dégâts s'il avait réussi, mais grâce à la visibilité de Vectra AI, nous avons pu mettre fin à cet incident.

Exemple d'attaque 2

Voici un autre exemple d'attaque, plus nuancé.

vectra-ai-detects-microsoft-entra-ID-M365

Dans le cadre de cette attaque, un attaquant a eu recours à l'hameçonnage vocal pour aboutir à la réinitialisation d'un mot de passe. D'autres rapports indiquent qu'il s'agit d'une technique d'araignée dispersée, mais même lorsque cela se produit, certains aspects de la connexion sont identifiables comme suspects. Il est possible d'alerter sur cet événement d'axe, mais en fin de compte, dans tous les cas que nous voyons, les attaquants ne font pas qu'une seule chose et Scattered Spider n'est pas différent.

Vous remarquerez ensuite l'accès à Exchange, qui passe par les applications SaaS lorsqu'elles se déplacent vers le M365, puis commence à mettre en place un accès redondant au niveau de la confiance fédérée avec un compte de niveau administrateur, et à sonder Azure. L'opportunité était là, elle est là pour l'arrêter parce que cette organisation avait la bonne visibilité. Mais vous pouvez tout voir, de l'accès anonyme à une technique Azure VMA pour échapper à la détection, en passant par la persistance d'Exchange, la délégation d'accès pour pouvoir manipuler les comptes dans ce domaine, les interactions avec SharePoint, le recours à la confiance fédérée pour la persistance, dans ce cas, l'accès plus large à Azure cloud était à la disposition de l'attaquant. Heureusement, cette organisation disposait des bons outils pour arrêter l'attaquant avant que l'impact ne se produise.

Vue complète MITRE ATT&CK de Scattered Spider avec la plateforme Vectra AI

Vectra AI fournit cloud, une couverture du réseau et de l'identité pour Scattered Spider (et les attaques similaires). Les zones surlignées en vert sont celles qui sont couvertes par Vectra AI.

Full-MITRE-ATT&CK-view-Scattered-Spider-with-Vectra-AI-Platform

Compte tenu de la diversité de ce type d'attaquant, il est essentiel d'avoir une visibilité à la fois sur l'identité et sur le site cloud sur les composants du réseau, ainsi qu'une clarté une fois que la couverture est assurée.

C'est là que la hiérarchisation de Vectra AIentre en jeu : coordonner des signaux disparates en un seul signal clair et donner de la clarté à tous les pivots qui se produisent entre le réseau et le site cloud.

Ensuite, du côté de la réponse ou du contrôle, vous savez qu'il est possible d'exploiter les intégrations Azure AD pour désactiver les comptes, l'intégration AD sur le réseau pour désactiver les comptes, les intégrations EDR pour désactiver le site endpoint, ou toute autre fonctionnalité de réponse vectorielle plus large pour prendre des mesures immédiates.

Pour plus de détails, regardez l'intégralité de l'exposé sur la menace que représente Scattered Spider.

 

Pour plus d'informations sur la plateforme Vectra AI , consultez les ressources utiles suivantes :