Google Ancaman Intelijen Grup (GTIG) menemukan “kampanye dunia maya yang canggih dan agresif” pada pertengahan 20125, menargetkan sektor ritel, maskapai penerbangan, dan asuransi. Menurut temuan itu, kampanye ini adalah karya UNC3944, kelompok ancaman yang tumpang tindih dengan pelaporan publik kelompok -kelompok seperti 0ktapus, Octo Tempest, dan Spider yang tersebar.
Taktik grup tidak bergantung pada eksploitasi perangkat lunak; Sebaliknya, mereka memanfaatkan panggilan telepon ke meja TI dengan taktik rekayasa sosial yang kreatif dan canggih.
Thomas Richards, Direktur Praktik Keamanan Infrastruktur di Black Duck, menjelaskan, “Pameran laba -laba yang tersebar di laba -laba harus memiliki tim keamanan yang waspada. Serangan rekayasa sosial dapat dicegah dengan pelatihan yang tepat dan proses tantangan untuk memvalidasi penelepon adalah siapa mereka. Dengan menggunakan kredensial yang valid dan dibangun dalam alat, sulit bagi tim keamanan yang terjadi jika mereka dikompromi.
Aktor ancaman ini tidak oportunistik. Sebaliknya, mereka menggunakan operasi yang tepat pada data dan sistem paling penting organisasi.
GTIG menyatakan, “Strategi mereka berakar pada pendekatan 'living-off-land' (LOTL). Setelah menggunakan rekayasa sosial untuk mengkompromikan satu atau lebih akun pengguna, mereka memanipulasi sistem administrasi tepercaya dan menggunakan kontrol mereka dari direktori aktif sebagai launchpad untuk mem-pivot beberapa hal yang lebih efektif. Indikator kompromi (IOC) dan mem -bypass alat keamanan seperti deteksi dan respons titik akhir (EDR), yang sering memiliki visibilitas terbatas atau tidak ada ke dalam hypervisor ESXI dan alat server vCenter (VCSA). ”
Di bawah ini, para pemimpin keamanan mempertimbangkan gerakan Laba -laba yang tersebar.
Pemimpin keamanan menimbang
Shane Barney, Kepala Petugas Keamanan informasi di Keeper security:
Spider yang tersebar mengembangkan taktiknya dengan fokus yang disengaja pada hypervisors ESXI VMware, tulang punggung lingkungan digital banyak organisasi. Pergeseran ini menargetkan sistem penting yang mendukung operasi bisnis di sektor -sektor seperti ritel, transportasi dan penerbangan. Kelompok ini memperoleh akses melalui rekayasa sosial, menyamar sebagai staf TI dan menggunakan alat admin yang ada untuk bergerak secara lateral dalam jaringan. Tujuan utama mereka adalah mencapai sistem utama, mengekstrak data yang sensitif dan mengganggu pemulihan dengan menghapus cadangan dan menggunakan ransomware.
Menghentikan serangan ini membutuhkan lebih dari sekadar penambalan atau deteksi ancaman. Arsitektur nol kepercayaan sangat penting untuk membatasi gerakan lateral dan menegakkan verifikasi identitas pada setiap langkah. Solusi manajemen akses istimewa (PAM) yang kuat dapat memblokir akses ke sistem sensitif seperti vCenter. Karena pelanggaran awal sangat bergantung pada rekayasa sosial, organisasi perlu melatih karyawan, terutama staf IT dan membantu staf meja, untuk mengenali dan menanggapi upaya peniruan.
Kegiatan ini merupakan pengingat bahwa bahkan organisasi yang dilindungi dengan baik dapat ditargetkan oleh kelompok yang gigih dan sumber daya yang baik. Tetap di depan berarti memperkuat keamanan identitas, membatasi akses istimewa dan mempersiapkan tim untuk menanggapi serangan modern, multi-fase.
Jason, rekan senior di Sectigo:
Spider yang tersebar telah menunjukkan bahwa tautan terlemah di awan hibrida modern masih manusia yang menjawab telepon meja bantuan. Dengan memanfaatkan ritual keakraban perusahaan seperti pertanyaan verifikasi identitas dan pohon panggilan ekstensi, kelompok ini menghindari pertahanan berbasis agen berlapis di dalam mesin virtual dan berjalan langsung ke hypervisor. Setelah akun vSphere tepercaya diatur ulang untuk mereka, mereka bergerak secara lateral dengan utilitas bawaan, mengubah keuntungan yang seharusnya menjadi virtualisasi menjadi kewajiban karena bidang manajemen yang sama yang menyederhanakan operasi juga memusatkan risiko. Kampanye mereka fokus pada perusahaan ritel dan perusahaan transportasi menyarankan pencarian yang disengaja untuk bisnis yang pengalaman pelanggannya tergantung pada uptime yang konstan, meningkatkan kemungkinan bahwa pembayaran tebusan terasa lebih murah daripada pemadaman yang berkepanjangan.
Aspek yang meresahkan dari buku pedoman mereka adalah penghapusannya yang disengaja dari remah roti forensik. Ekstraksi swap disk dari basis data Direktori Aktif terjadi saat pengontrol domain ditenagai yang kelaparan agen visibilitas. Penghapusan pekerjaan pemangkasan dan cadangan snapshot menghilangkan garis terakhir pemulihan yang mudah. Bahkan brankas rahasia jaminan tinggi menjadi batu loncatan begitu identitas istimewa dibajak. Pelajarannya adalah bahwa jaringan manajemen hypervisor harus mengadopsi kekakuan verifikasi out-of-band yang sama secara tradisional dicadangkan untuk transfer kawat dan bahwa cadangan harus berkubah di luar jangkauan kredensial vSphere. Sampai organisasi memperlakukan resistensi teknik sosial dan isolasi identitas istimewa sebagai kontrol ketersediaan daripada sekadar tugas kepatuhan kelompok ancaman seperti Spider yang tersebar akan terus mengubah kenyamanan TI biasa menjadi senjata yang dipandu dengan presisi.
Ms. Nivedita Murthy, konsultan staf senior di Black Duck:
Organisasi mengalami peningkatan serangan phishing tombak yang menargetkan tim meja bantuan mereka, yang sering memiliki akses signifikan ke sistem internal. Jika tidak diamankan dengan benar, tim -tim ini dapat menjadi kerentanan, memungkinkan penyerang menggunakan taktik rekayasa sosial untuk mendapatkan kredensial dan memulai serangan. Orang biasanya merupakan tautan terlemah dalam suatu organisasi. Untuk mengurangi risiko ini, organisasi harus melatih tim meja bantuan mereka untuk mengidentifikasi ancaman potensial dan menerapkan langkah -langkah keamanan yang kuat, termasuk mengkonfigurasi sistem SIEM untuk mendeteksi aktivitas yang tidak biasa yang mungkin tidak dicakup oleh alat EDR.
Rom Carmel, co-founder dan CEO di Apono:
Spider yang tersebar tidak hanya kembali, mereka telah naik level. Awak ini sekarang secara langsung menargetkan hypervisor VMware ESXI, melewati pertahanan titik akhir dan menyerang pada lapisan infrastruktur. Kampanye terbaru mereka melawan sektor ritel, maskapai penerbangan, dan transportasi Amerika Utara menunjukkan pergeseran dari kompromi akun ke kontrol hypervisor, menggunakan kredensial curian dan rekayasa sosial tanpa henti.
Mereka tidak mengandalkan zero-days, jadi apa yang membuat ini lebih berbahaya?
- Tidak ada malware yang diperlukan untuk akses awal
- Kegigihan Living-the-Land yang menyatu dengan aktivitas admin yang sah
- Penghancuran cadangan dan akses root ke hypervisor memastikan tidak ada pemulihan yang mudah
Ini bukan smash-and-gab. Ini adalah sabotase cyber gaya kampanye, dengan ransomware sebagai pukulan terakhir.
Di sinilah Nol Standing Privilege mengubah permainan. Seandainya lingkungan ini menegakkan akses tepat waktu, penyerang tidak akan menemukan kredensial admin yang terus-menerus untuk disalahgunakan. Dan dengan akses yang hanya cukup, bahkan akun yang dikompromikan akan terbatas dalam ruang lingkup, membuat gerakan lateral jauh lebih sulit. Jendela akses yang ketat dan terikat waktu dan alur kerja persetujuan membantu mencegah jenis kompromi yang tersebar di tingkat infrastruktur yang tersebar.
Target terbaru yang tersebar: transportasi dan maskapai penerbangan