O grupo de cibercriminosos conhecido como Muddled Libra tem sido observado em atividades focadas em atacar aplicações de software-como-serviço (SaaS) e ambientes de provedores de serviços em nuvem (CSP) com o objetivo de exfiltrar dados sensíveis.
"Organizações frequentemente armazenam uma variedade de dados em aplicações SaaS e utilizam serviços de CSPs", disse a Palo Alto Networks Unit 42 em um relatório publicado na semana passada.
Os cibercriminosos começaram a tentar utilizar alguns desses dados para auxiliar na progressão de seus ataques e para usar em extorsão ao tentar monetizar seu trabalho.
Muddled Libra, também chamado de Starfraud, UNC3944, Scatter Swine e Scattered Spider, é um notório grupo de cibercriminosos que tem utilizado técnicas sofisticadas de engenharia social para ganhar acesso inicial a redes-alvo.
"Os atores de ameaça Scattered Spider historicamente evadiram a detecção em redes alvo usando técnicas de living off the land e aplicativos allowlisted para navegar pelas redes das vítimas, além de modificar frequentemente seus TTPs", disse o governo dos EUA em um aviso no final do ano passado.
Os atacantes também têm um histórico de monetização do acesso às redes das vítimas de diversas maneiras, incluindo extorsão habilitada por ransomware e roubo de dados.
Um aspecto chave da evolução tática do ator de ameaças é o uso de técnicas de reconhecimento para identificar usuários administrativos a serem alvo quando se passam por funcionários de helpdesk usando chamadas telefônicas para obter suas senhas.
A fase de reconhecimento também se estende ao Muddled Libra realizando extensas pesquisas para encontrar informações sobre as aplicações e os provedores de serviços em nuvem usados pelas organizações alvo.
"Os ataques de personificação cross-tenant do Okta que ocorreram de final de julho a início de agosto de 2023, onde o Muddled Libra burlou restrições de IAM, mostram como o grupo explora o Okta para acessar aplicações SaaS e vários ambientes CSP de uma organização", explicou a pesquisadora de segurança Margaret Zimmermann.
As informações obtidas nesta fase servem como um ponto de partida para a realização de movimentos laterais, abusando das credenciais de admin para acessar portais de single sign-on (SSO) para obter acesso rápido a aplicações SaaS e infraestrutura em nuvem.
Caso o SSO não esteja integrado ao CSP de um alvo, Muddled Libra realiza atividades abrangentes de descoberta para descobrir as credenciais do CSP, provavelmente armazenadas em locais não seguros, para atingir seus objetivos.
Os dados armazenados com aplicações SaaS também são usados para obter detalhes sobre o ambiente infectado, capturando o máximo de credenciais possível para ampliar o escopo da violação via escalonamento de privilégios e movimento lateral.
"Uma grande parte das campanhas do Muddled Libra envolve coletar inteligência e dados", disse Zimmermann.
Os atacantes então usam isso para gerar novos vetores para movimento lateral dentro de um ambiente.
Organizações armazenam uma variedade de dados dentro de seus ambientes CSP únicos, tornando esses locais centralizados um alvo primário para o Muddled Libra.
As ações de descoberta especificamente destacam Amazon Web Services (AWS) e Microsoft Azure, visando serviços como AWS IAM, Amazon Simple Storage Service (S3), AWS Secrets Manager, chaves de acesso de conta de armazenamento Azure, Azure Blob Storage e Azure Files para extrair dados relevantes. A exfiltração de dados é realizada abusando de serviços e recursos CSP legítimos.
Isso inclui ferramentas como AWS DataSync, AWS Transfer e uma técnica chamada snapshot, que possibilita mover dados para fora de um ambiente Azure ao organizar os dados roubados em uma máquina virtual.
A mudança tática do Muddled Libra requer que as organizações protejam seus portais de identidade com proteções robustas de autenticação secundária, como tokens de hardware ou biometria.
"Expandindo suas táticas para incluir aplicações SaaS e ambientes em nuvem, a evolução da metodologia do Muddled Libra mostra a multidimensionalidade dos ciberataques na paisagem de ameaças moderna", concluiu Zimmermann.
O uso de ambientes em nuvem para coletar grandes quantidades de informações e exfiltrá-las rapidamente apresenta novos desafios aos defensores.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...