Pelaku ancaman meretas penyedia layanan telekomunikasi dan perusahaan outsourcing proses bisnis, dan secara aktif membalikkan mitigasi defensif yang diterapkan saat pelanggaran terdeteksi.
Kampanye tersebut ditemukan oleh Crowdstrike, yang mengatakan serangan dimulai pada Juni 2022 dan masih berlangsung, dengan peneliti keamanan dapat mengidentifikasi lima intrusi berbeda.
Serangan tersebut dikaitkan dengan peretas yang dilacak sebagai ‘Scattered Spider‘ yang menunjukkan persisten dalam mempertahankan akses, membalikkan mitigasi, menghindari deteksi, dan berputar ke target valid lainnya jika digagalkan.
Tujuan utama kampanye ini adalah untuk menembus sistem jaringan telekomunikasi, mengakses informasi pelanggan, dan melakukan operasi seperti pertukaran SIM.
Pelaku ancaman mendapatkan akses awal ke jaringan perusahaan menggunakan berbagai taktik rekayasa sosial.
Taktik ini termasuk memanggil karyawan dan menyamar sebagai staf TI untuk mengambil kredensial atau menggunakan pesan Telegram dan SMS untuk mengalihkan target ke situs phishing yang dibuat khusus yang menampilkan logo perusahaan.
Jika MFA melindungi akun target, penyerang menggunakan taktik push-notification MFA kelelahan atau terlibat dalam rekayasa sosial untuk mendapatkan kode dari para korban.
Dalam satu kasus, musuh mengeksploitasi CVE-2021-35464, sebuah kelemahan di server ForgeRock AM yang diperbaiki pada Oktober 2021, untuk menjalankan kode dan meningkatkan hak istimewa mereka pada instans AWS.
Setelah peretas mendapatkan akses ke sistem, mereka mencoba menambahkan perangkat mereka sendiri ke daftar perangkat MFA (otentikasi multi-faktor) tepercaya menggunakan akun pengguna yang disusupi.
Crowdstrike memperhatikan para peretas menggunakan utilitas berikut dan alat pemantauan dan manajemen jarak jauh (RMM) dalam kampanye mereka:
- AnyDesk
- BeAnywhere
- Domotz
- DWservice
- Fixme.it
- Fleetdeck.io
- Itarian Endpoint Manager
- Level.io
- Logmein
- ManageEngine
- N-Able
- Pulseway
- Rport
- Rsocx
- ScreenConnect
- SSH RevShell and RDP Tunnelling via SSH
- Teamviewer
- TrendMicro Basecamp
- Sorillus
- ZeroTier
Dalam intrusi yang diamati oleh Crowdstrike, musuh tidak henti-hentinya berusaha mempertahankan akses ke jaringan yang dibobol, bahkan setelah terdeteksi.
“Dalam beberapa investigasi, CrowdStrike mengamati musuh menjadi lebih aktif, menyiapkan mekanisme persistensi tambahan, yaitu akses VPN dan/atau beberapa alat RMM, jika tindakan mitigasi diterapkan secara perlahan,” CrowdStrike memperingatkan.
“Dan dalam beberapa kasus, musuh mengembalikan beberapa tindakan mitigasi dengan mengaktifkan kembali akun yang sebelumnya dinonaktifkan oleh organisasi korban.”
Dalam semua intrusi yang diamati oleh Crowdstrike, musuh menggunakan berbagai VPN dan ISP untuk mengakses lingkungan Google Workspace organisasi yang menjadi korban.
Untuk bergerak secara lateral, pelaku ancaman mengekstraksi berbagai jenis informasi pengintaian, mengunduh daftar pengguna dari penyewa yang dilanggar, menyalahgunakan WMI, dan melakukan tunneling SSH dan replikasi domain.
Selengkpanya: Bleeping Computer
