CONTACTO
Trellix muestra el modus operandi de Scattered Spider

Trellix muestra el modus operandi de Scattered Spider

por | Ago 25, 2023 | Trellix

Por Phellix Oluoch

Scattered Spider, también conocido como UNC3944, Scatter Swine, Muddled Libra y Roasted 0ktapus, es un grupo de actores de amenazas motivado financieramente que ha estado activo desde mayo de 2022. Scattered Spider se ha observado en gran medida apuntando a organizaciones de telecomunicaciones y subcontratación de procesos comerciales (BPO). Sin embargo, la actividad reciente indica que este grupo ha comenzado a apuntar a otros sectores, incluidas las organizaciones de infraestructura crítica.

A pesar de este cambio en los objetivos, Scattered Spider continúa aprovechando una variedad de tácticas de ingeniería social, incluido el phishing de Telegram y SMS, el intercambio de SIM, la fatiga de MFA y otras tácticas como parte de sus ataques. A menudo se ha observado que este grupo se hace pasar por personal de TI para convencer a las personas de que compartan sus credenciales o concedan acceso remoto a sus computadoras, se ha relacionado con varias campañas de phishing anteriores e implementaciones de controladores de kernel maliciosos, incluido el uso de una versión firmada pero maliciosa de Windows. Controlador de diagnóstico Intel Ethernet.

Este artículo profundiza en el modus operandi de Scattered Spider; los eventos recientes y las herramientas aprovechadas por el actor de amenazas, las vulnerabilidades explotadas y su impacto.

Eventos recientes

Scattered Spider generalmente explota vulnerabilidades como CVE-2015-2291 y utiliza herramientas como STONESTOP y POORTRY para finalizar el software de seguridad y evadir la detección. El grupo demuestra un conocimiento profundo del entorno de Azure y aprovecha las herramientas integradas para sus ataques. Una vez obtenido el acceso inicial, se ha observado a Scattered Spider realizando un reconocimiento de varios entornos, incluidos Windows, Linux, Google Workspace, Azure Active Directory, Microsoft 365 y AWS, además de realizar movimientos laterales y descargar herramientas adicionales para filtrar VPN y Datos de inscripción de MFA en casos seleccionados. También se sabe que el grupo establece persistencia a través de herramientas legítimas de acceso remoto como AnyDesk, LogMeIn y ConnectWise Control.

Para enero de 2023, Scattered Spider estuvo involucrada en más de media docena de incidentes desde mediados de 2022 hasta principios de 2023 en los que se dirigieron a grandes empresas de subcontratación que prestan servicios a instituciones e individuos de criptomonedas de alto valor.

En diciembre de 2022, Scattered Spider realizó campañas dirigidas a organizaciones de telecomunicaciones y BPO. El objetivo de la campaña parecía ser obtener acceso a las redes de los operadores móviles y, como se evidencia en dos investigaciones, realizar actividades de intercambio de SIM. El acceso inicial fue variado: ingeniería social usando llamadas telefónicas y mensajes de texto para hacerse pasar por personal de TI, y ya sea dirigiendo a las víctimas a un sitio de recolección de credenciales o dirigiendo a las víctimas para que ejecuten herramientas comerciales de administración y monitoreo remoto (RMM). Las campañas fueron extremadamente persistentes y descaradas. Una vez que se contuvo al adversario o se interrumpieron las operaciones, inmediatamente se movieron para apuntar a otras organizaciones dentro de los sectores de telecomunicaciones y BPO.

En el mismo mes, se descubrió su uso de una firma de atestación para firmar malware. Microsoft reveló los pasos que tomó para implementar protecciones de bloqueo y suspender las cuentas que se usaron para publicar controladores maliciosos que fueron certificados por su Programa de desarrollo de hardware de Windows. El problema se inició después de que se notificara a Microsoft sobre el uso de controladores no autorizados en los esfuerzos posteriores a la explotación, incluida la implementación de ransomware.

En agosto de 2022, Twilio identificó acceso no autorizado a la información relacionada con 163 clientes, incluido Okta. Los números de teléfono móvil y los mensajes SMS asociados que contenían contraseñas de un solo uso eran accesibles para Scattered Spider a través de la consola de Twilio. El kit de phishing utilizado por el actor de amenazas fue diseñado para capturar nombres de usuario, contraseñas y factores OTP y empresas de tecnología, proveedores de telecomunicaciones y organizaciones e individuos vinculados a la criptomoneda.

Herramientas

Scattered Spider usa POORTRY y STONESTOP para finalizar el software de seguridad y evadir la detección.

POORTRY es un controlador malicioso que se utiliza para finalizar procesos seleccionados en sistemas Windows, por ejemplo, el agente de detección y respuesta de punto final (EDR) en un punto final. Para evadir la detección, los atacantes firmaron el controlador POORTRY con una firma de Authenticode de compatibilidad de hardware de Microsoft Windows.

STONESTOP es una utilidad de usuario de Windows que intenta terminar procesos creando y cargando un controlador malicioso. Funciona como un cargador/instalador para POORTRY, así como un orquestador para instruir al conductor sobre qué acciones realizar.

En abril de 2023, el grupo de ransomware ALPHV (BlackCat) usó una versión actualizada de POORTRY para comprometer al gigante estadounidense de pagos NCR, lo que provocó una interrupción en su plataforma de punto de venta Aloha.

Explotación de vulnerabilidades

Se sabe que Scattered Spider explota CVE-2015-2291, que es una vulnerabilidad en el controlador de diagnóstico Intel Ethernet para Windows (iqvw64.sys) que permite a los usuarios locales provocar una denegación de servicio o posiblemente ejecutar código arbitrario con privilegios de kernel a través de un (a) 0x80862013, (b) 0x8086200B, (c) 0x8086200F o (d) 0x80862007 llamada IOCTL. Scattered Spider aprovechó CVE-2015-2291 para implementar un controlador de kernel malicioso en el controlador de diagnóstico Intel Ethernet para Windows (iqvw64.sys).

Además, Scattered Spider ha explotado CVE-2021-35464, que es una falla en el servidor ForgeRock AM. Las versiones del servidor ForgeRock AM anteriores a la 7.0 tienen una vulnerabilidad de deserialización de Java en el parámetro jato.pageSession en varias páginas. La explotación no requiere autenticación, y la ejecución remota de código se puede activar enviando una sola solicitud /ccversion/* diseñada al servidor. La vulnerabilidad existe debido al uso de Sun ONE Application Framework (JATO) que se encuentra en versiones de Java 8 o anteriores. Scattered Spider explotó CVE-2021-35464 para ejecutar código y elevar sus privilegios sobre el usuario de Apache Tomcat en una instancia de AWS. Esto se logró solicitando y asumiendo los permisos de un rol de instancia utilizando un token de AWS comprometido.

Impacto

Scattered Spider es conocido por el robo de datos confidenciales y el aprovechamiento de la infraestructura organizacional confiable para ataques de seguimiento en clientes intermedios.

Cobertura de productos Trellix

Los sistemas de seguridad de Trellix para Endpoint, Red y correos electrónicos, ofrecen una estrategia de detección de varias capas para las actividades de Scattered Spider, que incluye comprobaciones de los IOC y análisis de comportamiento para garantizar que se descubra cualquier amenaza potencial y se evite que perjudique a nuestros clientes. Para adelantarse a las amenazas nuevas y en evolución, nuestros productos monitorean y actualizan continuamente sus bases de datos de inteligencia de amenazas. Eso incluye Trellix Multi-Vector Virtual Execution Engine, un nuevo motor central antimalware, clasificación de comportamiento de aprendizaje automático y motores de correlación de IA, inteligencia de amenazas en tiempo real de Trellix Dynamic Threat Intelligence (DTI) Cloud y defensas en todo el Ataque el ciclo de vida para mantener su organización más segura y resistente.

—————

* Phelix Oluoch es un investigador de ciber amenazas de Trellix con dieciséis años de experiencia en seguridad de la información, así como habilidades y conocimientos de adaptación para ejecutar y respaldar operaciones de seguridad. Tiene experiencia técnica y de gestión en las industrias farmacéutica, de salud, de petróleo y gas, financiera y de transporte; así como en la remediación de incidentes APT. Certificaciones CISM, CISSP, CDPSE, (ISC)² CCSP, GCIA y GCFE y tiene una Maestría en Ciencias en Tecnologías de Seguridad de la Universidad de Minnesota. Entrena, educa y asesora a los Marines estadounidenses a través del programa Cyber Auxiliary del US Marine Corps. También es mentor de ISACA.

Descargar PDF
61% de los profesionales mexicanos en ciberseguridad creen que su modelo necesita actualizarse o cambiar para responder adecuadamente a los ciberataques

61% de los profesionales mexicanos en ciberseguridad creen que su modelo necesita actualizarse o cambiar para responder adecuadamente a los ciberataques

por | May 23, 2023 | Sin categoría, Trellix

Ciudad de México, 23 de mayo, 2023– Trellix, la empresa de ciberseguridad que entrega el futuro de la detección y respuesta extendida (XDR), dio a conocer la investigación global que muestra el costo de la seguridad aislada, puntos débiles en detección y falta de confianza entre los equipos de operaciones de seguridad (SecOps). El estudio global de 9,000 profesionales de ciberseguridad también mira al futuro de la seguridad y la tecnología lista para revolucionar las SecOps. El 84% de los encuestados mexicanos describe su actual la situación de su modelo de seguridad como “aislado”. En consecuencia, el 80% de los profesionales mexicanos en la ciberseguridad probablemente recomienden programar presupuesto a soluciones avanzadas, incluyendo el XDR, para permitir una estrategia de seguridad integrada.

“Esta investigación muestra lo insostenible de la situación para los profesionales de la ciberseguridad al día de hoy”, dijo Aparna Rayasam, directora de Producto de Trellix. “En vez de confiar en soluciones tradicionales aisladas que añaden complejidad, las empresas pueden reformar las operaciones de seguridad con una plataforma de seguridad flexible e inteligente, diseñada para consolidar las herramientas de seguridad y remediar rápidamente las amenazas”.

Se requiere más integración.

Solo el 17% de las organizaciones mexicanas están trabajando con un modelo de seguridad completamente integrado, con otro 38% en el proceso de cambiar su configuración aislada. La investigación reveló que el 59% de los profesionales en ciberseguridad mexicanos trabaja con más de diez herramientas de seguridad o soluciones diferentes, a lo largo de su compañía, con 24% de los encuestados trabajando con entre 16 y 20 herramientas.

Las soluciones desconectadas están frenando los negocios.

El 56% de los profesionales de la ciberseguridad en México admiten que sus actuales herramientas de seguridad no permiten a su equipo de SecOps trabajar con máxima eficiencia; y el 44% reconoce que tienen puntos ciegos en su protección actual.

Oportunidad para crear confianza en SecOps.

Solo el 24% de los profesionales de ciberseguridad mexicanos se siente “muy confiado” en la capacidad de sus organizaciones para adaptarse rápidamente a nuevas amenazas, y el 41% “algo confiado”. Mientras que el 51% de los encuestados en México. admiten que las amenazas de seguridad evolucionan tan rápido que luchan por mantenerse actualizados.

En promedio, el 33% de las organizaciones encuestadas tratan con hasta 25 incidentes diarios, 29% admiten que enfrentan entre 26 y 50 incidentes diarios. Casi la mitad (41%) de los encuestados mexicanos reportaron estar “inundados con una corriente interminable de ciberataques” como una de sus principales frustraciones en el trabajo; y 21% dice que nunca o “rara vez” priorizan y responden rápidamente a las amenazas.

Protegiendo el resultado final.

El 48% de los profesionales en ciberseguridad mexicanos estima que sus organizaciones perdieron hasta el 5% de sus ingresos por brechas de seguridad en los últimos 12 meses, mientras que otro 38% estima que las pérdidas de ingresos son de hasta 10%.

XDR: una revolución en ciberseguridad.

El 63% de los profesionales mexicanos pretende implementar XDR en sus organizaciones en los siguientes 12 a 18 meses. Es muy probable que se implementen tecnologías adicionales como Detección y Respuesta de Endpoints (EDR) (54%), Detección y Respuesta en Redes (NDR) (58%) y simulaciones de ataques en brechas (63%).

Erika Urbina, Gerente General de Trellix México, dijo que “los profesionales de ciberseguridad en México saben que las nuevas amenazas deben enfrentarse con inteligencia de amenazas, y el ecosistema XDR es la única plataforma que puede entregarles inteligencia de amenazas accionable en tiempo real, para predecir, detectar y responder con éxito a los ataques con mejores y más rápidos resultados. Es por eso que vemos que casi el 40% de los ejecutivos que respondieron nuestra encuesta están en el proceso de cambiar sus configuraciones aisladas por la nueva plataforma XDR, así tendrán un mejor panorama de las amenazas, inteligencia accionable contra ellas y mejores resultados”.

Recursos adicionales

Metodología

El estudio se basó en una investigación conducida por Coleman Parkes y entrevistó a 9,000 tomadores de decisiones de ciberseguridad en organizaciones con más de 500 empleados, a lo largo de 15 mercados: Alemania, Australia, Brasil, Canadá, Chile, Colombia, Emiratos Árabes Unidos, Francia, India, Indonesia, México, Reino Unido, Singapur, Sudáfrica y Estados Unidos.

Conoce las predicciones de Trellix sobre las ciber amenazas para 2023

Conoce las predicciones de Trellix sobre las ciber amenazas para 2023

por | Mar 9, 2023 | Trellix

Cada año compartimos nuestras observaciones de cómo será el siguiente año en ciber amenazas. El equipo del Centro de Investigación Avanzada de Trellix reportó que para 2022 teníamos predicciones sobre hacktivismo, guerra cibernética y ataques a las cadenas de proveedores de software. 

Comenzamos 2022 con una vulnerabilidad para toda la industria en Log4J, que fue seguido por la guerra física y cibernética contra Ucrania. Terminamos el año observando hactivistas resolviendo el problema con sus propias manos, nuevos actores en operación y un escenario diferente pero cada vez más activo de ransomware. 

Conforme la economía global continúa creando estrés político y divergencia, las organizaciones deben esperar un incremento en las actividades de los actores que buscan promover su propia agenda por ganancias políticas o financieras. Para engañar y vencer a los malhechores, y avanzar en forma proactiva las defensas, la industria de la ciberseguridad debe estar siempre alerta y siempre aprendiendo 

De los reportes que estudian y explican las tendencias, podemos organizar mejor las acciones de nuestro sector. Yo sugiero mantener un ojo en cuatro actividades en 2023: geopolítica y conflictos, hacktivismo, más vulnerabilidades descubiertas (o redescubiertas) y ataques de phishing armado. 

Geopolítica y conflictos 

El alza de los ciberataques y campañas de desinformación motivados por geopolítica pueden continuar moldeando el paisaje de las ciber amenazas en 2023. Estos intentos fueron parte de esfuerzos de reconocimientos cada vez mayores, activos o pasivos, para apoyar el proceso de lanzamiento de misiles balísticos. 

El hacktivismo en el centro del escenario 

Dadas las tensiones globales de hoy, estamos viendo el resurgimiento del hacktivismo y esperamos que esto juegue un papel más importante en 2023. A medida que grupos débilmente organizados impulsados por la propaganda, se alinean por una causa común, pueden incrementar el uso de herramientas para expresar su enojo y causar disrupción. Como hay tensiones en diversas regiones, consideramos que el hacktivismo escalará conforme se adapta a la agenda política de partidos de oposición y ofrece una negación perfectamente plausible de las acciones, ya que son iniciadas y llevadas a cabo por activistas. 

Más vulnerabilidades descubiertas (o redescubiertas) 

Tanto los agentes de amenazas como los investigadores de seguridad incrementarán sus estudios en las estructuras subyacentes que son parte de la cadena de suministros. Como resultado, anticipamos ver más vulnerabilidades descubiertas (o redescubiertas) y explotadas con amplio impacto, lo que no necesariamente llegará en la forma de un gran error de Microsoft, sino un marco del que nunca había oído y que todo mundo está usando. Por lo tanto, debemos incrementar nuestra visibilidad y profunda comprensión de exactamente cuál código estamos corriendo en nuestra organización. 

Ataques de phishing armados 

En 2023 se espera ver ataques armados de phishing a lo largo de servicios de comunicación de empresas y aplicaciones comúnmente usados. Los actores de amenazas alrededor del mundo pueden incrementar y ajustar sus métodos establecidos para infiltrar las redes de las organizaciones. Como la cultura del trabajo híbrido ha expandido las superficies de ataque hacia las redes y dispositivos domésticos que son vulnerables y están mal administrados, los agentes de amenazas se han beneficiado usando esto como un medio para apuntar fácilmente a las redes empresariales. Esto ha llevado a incrementos en los intentos de phishing hacia los negocios y, a cambio, las organizaciones se han enfocado en fortalecer sus perímetros y protección de servicio de correos. 

Queremos que no solo responda a riesgos conocidos, sino que se anticipe a amenazas futuras con información de expertos de hacia dónde enfocar sus defensas. Resulta que predecir el futuro no es magia, solo requiere conocimiento de la industria y ciencia de datos vanguardista. 

Descargar PDF