Vectra AI Bedrohungs-Briefing: Verstreute Spinne

2. April 2024
Vectra AI Produkt-Team
Vectra AI Bedrohungs-Briefing: Verstreute Spinne

In letzter Zeit haben uns viele Anfragen erreicht, mehr über die Hackergruppe Scattered Spider zu erfahren. Wir beschäftigen uns schon eine Weile mit ihnen, denn wenn es eine Bedrohungsgruppe gibt, die den Grund darstellt, warum wir unser Produkt entwickeln, dann ist es diese Gruppe. Sie sind fies, sie sind böse, und sie bringen eine Menge Tools auf den Tisch, die die Verteidiger wirklich unter Druck setzen.

Heute werden wir Ihnen erklären, wer sie sind, welche Techniken sie anwenden und wo sie sich auf der Welt aufhalten. Wir hoffen, dass Sie dadurch besser verstehen, welche Möglichkeiten Sie haben, sich gegen diese Art von Angriffen zu schützen.

Wer ist Scattered Spider?

Es handelt sich um eine derzeit aktive Cyberangriffsgruppe, die unter vielen Namen bekannt ist. Sie werden vielleicht als Starfraud, UNC3944, Scatter Swine, Octo Tempest, Muddled Libra und natürlich Scattered Spider bezeichnet. Scattered Spider ist der wichtigste Begriff, den Sie jetzt hören werden. Sie haben sich stark auf die Entwicklung von Playbooks konzentriert, die zu reproduzierbaren Angriffen mit hohen Erfolgsquoten führen. Diese Angriffe sind hauptsächlich auf die Identität ausgerichtet.

Wir sehen viele Angreifer, die Identitäten nutzen, aber Scattered Spider ist sehr effektiv darin geworden, Wege zu finden, MFA zu umgehen und über cloud Identitäten einzudringen. Letztendlich gehen sie in Angriffe über, die sich über die gesamte Bandbreite des Unternehmens erstrecken: cloud, Netzwerk, alles, was mit unserer Identität in Berührung kommt, können sie durchdringen und damit interagieren.

Scattered Spider wird oft in einem Atemzug mit ALPHV Blackcat genannt. Das liegt daran, dass beide zur Gruppe der Ransomware-as-a-Service-Teilnehmer gehören. ALPHV Blackcat befindet sich in einem eigenen Bereich, der von Scattered Spider getrennt ist, aber er ist eng mit Scattered Spider verbunden und sollte verstanden werden. Man kann nicht über das eine reden, ohne über das andere zu sprechen.  

Was macht Scattered Spider?

Diese Gruppen haben eine lange Geschichte von traditionellen und hybriden Angriffen auf cloud Unternehmensumgebungen. Sie werden Mittel und Wege finden, um Daten dort abzugreifen, wo sie am wertvollsten sind. Das bedeutet, dass es keinen einzelnen Bereich des Netzwerks oder cloud gibt, den Sie nur im Auge behalten müssen; der Angreifer hat es auf die gesamte Umgebung abgesehen.

Und wenn wir über diesen Angreifer und sein Vorgehen sprechen, handelt es sich um eine Ransomware-Gruppe. Sie haben eine Ransomware-Strategie, die sich auf Denial-of-Service und Erpressung für gestohlene Daten konzentriert. Denial of Service" ist in diesem Zusammenhang nicht DDoS. Es geht nicht nur darum, Dinge zu zerstören. Es geht darum, den Betrieb von innen heraus lahmzulegen, indem die Systeme verschlüsselt werden, der Zugang blockiert wird und die Geschäftsabwicklung durch die Aktionen der Angreifer erschwert wird. Letztendlich werden die Daten außer Haus gebracht und eine Zahlung verlangt oder es wird damit gedroht, die Daten in der Welt zu veröffentlichen bzw. gegen Sie zu verwenden. Das ist Erpressung in vollem Umfang, zusätzlich zum Denial of Service.

Es gibt viele Ransomware-Akteure, aber Scattered Spider erhält viel Aufmerksamkeit, weil sie mit ALPHV Blackcat in Verbindung gebracht werden, das einige der höchsten Ransomware-Forderungen in der aktuellen Landschaft aufweist.  

Ransomware als Geschäftsmodell

Scattered Spider ist eine Gruppe von Angreifern. Sie sind diejenigen, die die Angriffe durchführen. Sie sind Teil eines Ransomware-Geschäftsmodells, bei dem sie als Partner eines Anbieters agieren, der ihnen Tools und Techniken zur Verfügung stellt, mit denen sie einen Angriff durchführen und vorantreiben können. Aus diesem Grund wird ALPHV Blackcat oft in einem Atemzug genannt, weil dies ihr Anbieter von Tools ist und eine enge Beziehung zwischen Partner und Anbieter besteht.

  

Es gibt auch eine dritte Partei, die auf der Seite eines Identitätszugangsvermittlers sitzt und die Mischung vervollständigt, aber letztendlich ist Scattered Spider derjenige, der diese Angriffe durchführt. Scattered Spider verfügt über eigene Tools, nutzt aber auch Standard-Kontrollpunkte, also Technologien, die der Anbieter einsetzt. Der Anbieter ist letztlich derjenige, der die Verhandlungen führt und die durchgesickerten Daten verwaltet. Es besteht also eine sehr enge Beziehung zwischen den beiden Parteien.  

Der aktuelle Stand von ALPHV Blackcat und seine Auswirkungen auf Scattered Spider

Aufgrund dieser anhaltenden Beziehung haben sich die Erwartungen an Scattered Spider in nächster Zeit etwas verändert. ALPHV Blackcat verschwand, zumindest dem Namen nach, vom Markt, als das Unternehmen durch FBI-Aktionen ausgeschaltet wurde. Das hat sie jedoch nicht daran gehindert, als Ransomware-Anbieter weiter zu existieren. Ihre Website wurde heruntergefahren, aber sie kamen wieder hoch, und als sie wieder da waren, waren sie sofort in den Change Healthcare-Vorfall verwickelt.

Letztendlich wurde Geld überwiesen bzw. die Ransomware bezahlt, und ALPHV Blackcat nahm das mit dem Partner verbundene Geld und verschwand. Normalerweise wird der eigentliche Ausführer der Ransomware bezahlt, aber ALPHV Blackcat ist abgehauen und untergetaucht. Normalerweise wird in solchen Fällen der Angreifer umbenannt, und die Tools kommen auf eine andere Weise heraus. Abgesehen davon ist es wahrscheinlich, dass sich die Arbeitsweise von Scattered Spider und die von ihnen verwendeten Tools ändern werden.  

Aus der Sicht von Vectra AIhaben wir in der Vergangenheit ähnliche Ransomware-Akteure und verschiedene SaaS-Dienste gesehen, die im Ransomware-Bereich tätig sind und deren Funktionsweise gut kennen. Aufgrund unseres Schwerpunkts auf verhaltensbasierter Erkennung bleibt Vectra AI sehr effektiv bei der Erkennung der Kerntechniken, die jeder Ransomware-Anbieter verwenden würde. Dies gilt auch für andere Anbieter auf dem Markt für diese Ransomware-Tools, die nicht über die Kernfunktionen verfügen, die Scattered Spider als Gruppe selbst entwickelt hat.  

Cloud-zentrierte verstreute Spinnenangriffe

Gehen wir einige der dokumentierten Beispiele dafür durch, was diese Angreifer sind und was diese Gruppe tut, um zu verstehen, wie raffiniert sie ist.  

scattered-spider-hybrid-attack-path
Das Bild basiert auf der Mandiant SIM-Swapping-Dokumentation

Bei diesem Angriff begann Scattered Spider mit einer Identitätskompromittierung durch SMS-Phishing und SIM-Tausch. Dies ist eine Technik, die es einem Angreifer ermöglicht, MFA zu umgehen und sich bei einer Identität anzumelden. Es gibt noch ein paar andere Methoden, aber dies ist eine effektive Methode, die für diese Gruppe und einige andere aktive Bedrohungsakteure gut funktioniert hat.  

Es gibt zwar Anzeichen dafür, dass die Anmeldung verdächtig ist, und Möglichkeiten, dies zu erkennen, aber SMS-Phishing ist ein Weg, der den Zugriff ermöglicht und die Schutzmaßnahmen umgehen kann, so dass sie sich anmelden können. In diesem Szenario erhalten sie Zugriff auf ein Azure-Administratorkonto und beginnen sofort, mit Azure zu interagieren und die Landschaft zu erkunden. Als Nächstes interagieren sie mit verschiedenen Tools auf der Azure-Plattform. Sie fangen an, Tools auf verfügbare Endpunkte zu setzen, VMS, die in Azure bereitgestellt wurden, um die Aufklärung aus dem Blickwinkel der Plattform-as-a-Service effektiv durchzuführen.

Dies alles führt dazu, dass der Angreifer einen Pfad vom eigentlichen IaaS selbst aus abbildet. Da es in Azure (eigentlich in jeder Art von Microsoft-Bereitstellung von VMs) eine Funktion namens serielle Konsole gibt, konnten sie beliebigen Code auf dem AVM ausführen. Dabei handelt es sich im Wesentlichen um ein Remote-Management-Tool. Dies ermöglicht dem Angreifer, Befehle wie ein umgekehrtes SSH von jedem der Endpunkte auszuführen, die VMs in diesem Azure cloud sind.

Was als Identitätskompromittierung begann, hat sich nun auf die cloud verlagert und ist dann von der Platform-as-a-Service-Komponente in den IaaS-Teil übergegangen, von dem aus ihre traditionelle Ransomware-Funktionalität ins Spiel kommt. C2 wird eingesetzt, laterale Bewegungen über RDP-Verbindungen finden statt, Privilegieneskalation und traditionelle Taktiken, die wir bei Ransomware-Akteuren auf ihrem Weg durch ein Netzwerk beobachten, sind nun nach dieser nuancierteren cloud Infiltration im Spiel. Dies führt letztendlich dazu, dass der Angreifer Datendiebstahl begeht und noch größere Auswirkungen hinterlässt.

Angriffspfad der verstreuten Spinne cloud - aus der Sicht eines Verteidigers

 

scattered-spider-azure-attack-path

Hier ist eine vergrößerte Ansicht von dem, was gerade passiert ist. In der Mitte ist unser Schädel zu sehen, der den Angreifer darstellt. Sie haben die Entra-ID-Identität durch SMS-Phishing erlangt. Sie nutzen diese, um sich in die Azure-Plattform-as-a-Service einzuschleusen und diese Plattform-as-a-Service zu nutzen, um sich direkt mit Azure IaaS zu verbinden, wo sie die Befehls- und Kontrollfunktionen einsetzen können, die den Angreifer in das IaaS gebracht haben. Sie sind in der Lage, mehrere Angriffsoberflächen während ihres Angriffs mit minimaler Prävention zu überspannen, die sie stoppen kann. Und das ist die Art von Angriff, nicht die einzige, aber die Art von Angriff, die die Techniken repräsentiert, die ins Spiel kommen. Die Identität in diesem Beispiel war nur eine der Techniken von Scattered Spider.  

Scattered Spider ist äußerst effektiv beim Zugriff auf und Missbrauch von Identitäten

Das folgende Diagramm zeigt einige verschiedene Ansichten der dokumentierten cloud Identitätstechniken. Es gibt die traditionelle MITRE-Ansicht der Identitätstechniken, die Scattered Spider auf cloud zur Verfügung stehen: SIM-Swap, MFA-Bombing, Voice Phishing usw. Sie registrieren Persistenz, sobald sie MFA umgangen haben, und können dies auf Geräte- und Mandantenebene tun. Sie können Konten manipulieren und Daten ausspähen. Letztlich geht es nicht nur um Identitätstaktiken, sondern um die gesamte Bandbreite des Angreiferraums.

Vollständige MITRE ATT&CK Ansicht von Scattered Spider

Die wichtigsten Aspekte, die es hier zu beachten gilt, sind die Nutzung der Identität, um zwischen den Bereichen, an denen sie interessiert sind, zu wechseln, und die Ermöglichung der Persistenz. Sie wenden das uns bekannte Standard-Ransomware-Schema an, wie z. B. die Nutzung von C2-Kanälen mit kommerziellen Fernzugriffstools oder Software von Drittanbietern. Sie entwickeln keine verrückten Nutzlasten; das ist auch nicht nötig. Stattdessen verwenden sie ein Ransomware-as-a-Service-Modell von der Stange mit Tools, die sich bereits an anderer Stelle bewährt haben. Sie setzen Dinge wie Mimikatz ein, nutzen laterale Bewegungen, RDP wie jeder andere Ransomware-Akteur, und AD, wo sie nach Impact/Exfil gehen, das ist ihr Spielplan.

MITRE-ATT&CK-Ansicht der zerstreuten Spinne

Vectra AI MITRE ATT&CK cloud identitätsbezogene Berichterstattung für Scattered Spider

Vectra AI beobachtet Scattered Spider schon seit einer Weile. Wir beobachten seit einiger Zeit Ransomware-Gruppen im Bereich Ransomware-as-a-Service, und unsere Berichterstattung war bei dieser Art von Angriffen sehr effektiv. Zur Veranschaulichung sehen Sie hier die Identitätsmatrix, die sich auf unsere Berichterstattung bezieht.

Vectra-ai-mitre-attck-abdeckung

Vectra AI hat eine vollständige Abdeckung von der cloud Seite für Identität. Dies umfasst alles von der Registrierung über die Manipulation des Domänenvertrauens bis hin zu den Zugriffsereignissen usw. Wir waren in der Lage, eine Abdeckung aufzubauen, die eine echte Auswirkung auf die Lokalisierung des Angreifers und seiner Aktivitäten hat. Um Ihnen eine Vorstellung zu vermitteln, hier einige Beispiele für relevante Fälle in diesem Angriffsbereich.

Angriffsbeispiel 1

Es handelt sich um einen anonymisierten Angriff, der an die Techniken erinnert, die in den ersten Ereignissen eines Scattered-Spider-Angriffs dokumentiert wurden.

Vectra-AI-detects-early-stage-compromise

Der Angreifer scheint gezieltes Phishing zu betreiben. Möglicherweise handelte es sich um ein Phishing-Kit, mit dem sie die MFA umgehen konnten: eine andere Art von verkaufsfähiger Software, die es auf dem Markt gibt. Sie meldeten sich über das Entra ID-Konto an und waren dabei, Persistenz hinzuzufügen. Das bedeutet, dass sie ein Gerät registrieren würden, denn wenn man nur ein Token stiehlt, hat man nur vorübergehend Zugriff darauf.

Dies war ein tatsächlicher Fall, der vom Vectra MDR-Dienst erkannt wurde. Er wurde innerhalb der ersten 5 Minuten des Angriffs erkannt und abgeschaltet. Der Angreifer hätte viele Möglichkeiten gehabt, Schaden anzurichten, wenn er erfolgreich gewesen wäre, aber dank der Sichtbarkeit von Vectra AIkonnten wir diesen Vorfall verhindern.

Angriffsbeispiel 2

Hier ein weiteres, differenzierteres Beispiel für einen Angriff.

vectra-ai-erkennt-microsoft-entra-ID-M365

Bei diesem Angriff führte ein Angreifer im Wesentlichen ein Voice-Phishing durch, um ein Passwort zurückzusetzen. Es gibt andere Berichte, dass es sich dabei um eine Scattered-Spider-Technik handelt, aber selbst wenn das passiert, gibt es Aspekte der Anmeldung, die als verdächtig identifiziert werden können. Es besteht die Möglichkeit, vor diesem Achsen-Ereignis zu warnen, aber letztendlich tun Angreifer in all diesen Fällen, die wir sehen, nicht nur eine Sache, und Scattered Spider ist nicht anders.

Sie werden dann feststellen, dass der Zugriff auf Exchange über SaaS-Anwendungen erfolgt, wenn diese in M365 übertragen werden, und dann beginnen, redundanten Zugriff auf der föderierten Vertrauensebene mit einem Konto auf Administratorebene einzurichten und Azure zu untersuchen. Es gab die Möglichkeit, dies zu verhindern, weil diese Organisation die richtige Transparenz hatte. Aber man kann alles sehen, vom anonymen Zugriff bis hin zu einer Azure VMA-Technik, um die Erkennung zu umgehen, dann die Exchange-Persistenz, die Delegierung des Zugriffs, um Konten in dieser Domäne manipulieren zu können, die Interaktion mit SharePoint, die Umwandlung von föderiertem Vertrauen für die Persistenz, in diesem Fall war das breitere Azure cloud für den Angreifer verfügbar. Glücklicherweise verfügte diese Organisation über die richtigen Tools, so dass der Angreifer gestoppt werden konnte, bevor es zu den Auswirkungen kam.

Vollständige MITRE ATT&CK Ansicht von Scattered Spider mit der Vectra AI Plattform

Vectra AI bietet cloud, Netzwerk- und Identitätsabdeckung für Scattered Spider (und ähnliche Angriffe). Grün hervorgehoben sind die Bereiche, die von Vectra AI abgedeckt werden.

Voll-MITRE-ATT&CK-Ansicht-Scattered-Spider-mit-Vectra-AI-Plattform

Angesichts der Vielfältigkeit dieser Art von Angreifern ist es von entscheidender Bedeutung, dass man sowohl auf der Identitätsebene als auch auf der Ebene von cloud einen Überblick über die tatsächliche Art der Netzwerkkomponenten hat und dass man Klarheit hat, sobald man diese Abdeckung hat.

Hier kommt die Priorisierung von Vectra AIins Spiel: Sie koordiniert die unterschiedlichen Signale zu einem einzigen klaren Signal und schafft Klarheit für alle Drehungen, die zwischen dem Netzwerk und cloud stattfinden.

Auf der Reaktions- oder Kontrollseite besteht dann die Möglichkeit, entweder die Azure AD-Integrationen zu nutzen, um die Konten zu deaktivieren, die AD-auf-dem-Netzwerk-Integration, um die Konten zu deaktivieren, die EDR-Integrationen, um die endpoint zu deaktivieren, oder eine der breiteren Vektorreaktionsfunktionen, um sofortige Maßnahmen zu ergreifen.

Weitere Einzelheiten finden Sie in der vollständigen Information über die Bedrohung durch Scattered Spider.

 

Weitere Informationen über die Plattform Vectra AI finden Sie in den folgenden hilfreichen Ressourcen: