We horen om de haverklap dat cyberaanvallers niet meer hacken, maar simpelweg inloggen. Dit is zo omdat het nu eenmaal waar is. Echter laat het voorbeeld van Scattered Spider zien hoe geraffineerd de top van de zogeheten dreigingsactoren opereert. Social engineering is de sleutel naar de ESXi-hypervisor, met alle gevolgen van dien.
Vorige week publiceerde Google’s Threat Intelligence Group nieuw nieuws over UNC3944, een hackersgroep dat vermoedelijk een en dezelfde partij is als Scattered Spider, Octo Tempest en Oktapus. Het is een beruchte aanvaller met onder meer de Las Vegas-casino’s en Snowflake als prominente slachtoffers. De meest recente aanvalscampagne van de groep richt zich tot verschillende industrieën, voornamelijk in Noord-Amerika. Andermaal blijkt hoe het opereert: misleiding via een nephelpdesk met vervolgens een digitale loopbrug van Azure Active Directory naar VMware vSphere en de ESXi-hypervisor.
Van helpdesk tot hypervisor
UNC3944, Scattered Spider, Octo Tempest, et cetera, het onderscheidt zich van generieke aanvallers door een methodische aanpak. De doorgewinterde strategie begint met een telefoontje naar de IT-helpdesk van een te treffen bedrijf. Door zich voor te doen als medewerker en persoonlijke informatie uit eerdere datalekken te gebruiken, weet de groep wachtwoorden te laten resetten.
Eenmaal binnen scant de groep SharePoint-sites en netwerkstations naar IT-documentatie. Men zoekt naar namen van beheerders en beveiligingsgroepen zoals “vSphere Admins” of “ESX Admins”. Met deze kennis bellen de aanvallers opnieuw naar de helpdesk, nu als privileged user, voor verdere escalatie.
Lees ook: Microsoft SharePoint zero-day: wat weten we en waar ging het mis?
De groep werkt razendsnel. Waar traditionele ransomware-aanvallen dagen of weken duren, kan UNC3944 binnen uren van initiële toegang tot complete versleuteling gaan. Dit tempo maakt detectie buitengewoon moeilijk, zo benadrukt het Google-onderzoeksteam.
VCSA als doorgeefluik
Met gecompromitteerde Active Directory-referenties logt de groep in op vCenter Server. Van daaruit krijgen de aanvallers zogeheten “virtuele fysieke toegang” tot de VCSA zelf. Door het systeem opnieuw op te starten en de GRUB bootloader te wijzigen (init=/bin/bash), verkrijgt men vervolgens root-toegang zonder wachtwoord.
Daarna installeert de groep Teleport, een legitieme remote access tool. Dit creëert een versleutelde reverse shell die firewallregels omzeilt. Zo bewerkstelligt de aanvaller de altijd felbegeerde persistent access. De VCSA functioneert hiermee als doorgeefluik voor data-exfiltratie, wat netwerksegmentatie nutteloos maakt.
Mandiant laat weten dat deze aanpak de fundamentele vertrouwensrelatie tussen vCenter en Active Directory misbruikt. MFA ontbreekt vaak bij vCenter-logins via LDAP(S), waardoor gestolen referenties direct bruikbaar zijn.
Offline credential theft
De meest verontrustende fase behelst “hypervisor heist”: offline diefstal van credentials. UNC3944 schakelt SSH in op ESXi-hosts en reset root-wachtwoorden. Ze identificeren een Domain Controller VM, schakelen deze uit en koppelen de virtuele schijf los.
Deze schijf wordt gekoppeld aan een vergeten of “verweesde” VM die zij controleren. Van daaruit kopiëren ze de NTDS.dit Active Directory-database. Na afloop wordt alles teruggedraaid alsof er niets gebeurd is.
Dit proces is volledig onzichtbaar voor EDR-software die binnen het besturingssysteem van de Domain Controller draait. De aanval vindt namelijk plaats op hypervisor-niveau, waar traditionele beveiligingstools geen zicht hebben. ESXi is als hypervisor buitengewoon lastig om te beveiligen, zeker als er een directe verbinding tussen Active Directory en vSphere zit.
Voordat de versleuteling begint
Met volledige AD-controle richt Scattered Spider zich hierna op de back-up-infrastructuur. Immers is er weinig reden om te onderhandelen of ransomware te betalen als de slachtoffers hun systemen kunnen herstellen. Via RDP of door gebruikers aan “Veeam Administrators”-groepen toe te voegen, krijgt de groep toegang tot back-upsystemen. Alle back-up jobs, snapshots en repositories worden gewist.
Door op hypervisor-niveau te versleutelen, omzeilt de aanvalsgroep alle in-guest security. Root-toegang op ESXi-shells is dan ook het hoogste privilege-niveau in virtuele omgevingen. Met andere woorden: aanvallers die op dit niveau een compromis realiseren, hebben nagenoeg vrij spel.
ESXi-ransomware is absoluut geen nieuw fenomeen, maar UNC3944’s aanpak wel. Ze pushen hun payload via SSH naar ESXi-hosts, gebruiken vim-cmd om alle VMs geforceerd uit te schakelen, en starten vervolgens de ransomware. Zo blijkt wederom dat de aantrekkingskracht van een populaire hypervisor ook het voortdurende patchwerk van kwetsbaarheden voor is.
Drie pijlers voor verdediging
Mandiant stelt een drieledige verdediging voor. Proactieve hardening vormt de basis: lockdown mode voor ESXi, execInstalledOnly-beleid voor unsigned binaries, en VM-encryptie voor kritieke assets. Identiteit en architectuur zijn daarna de tweede pijler. Phishing-resistente MFA voor alle systemen, isolatie van kritieke infrastructuur, en het vermijden van authenticatielussen waarbij AD zichzelf beveiligt. Geavanceerde detectie (ofwel Extended Detection, de XD in XDR) is de laatste verdedigingslinie. Gecentraliseerde logging van AD, vCenter, ESXi en back-upsystemen. Correlatie tussen deze bronnen creëert wat men noemt high-fidelity alerting, waardoor vroege detectie mogelijk wordt.
UNC3944 blijkt al een trendsetter. In plaats van software-exploits vertrouwt men op menselijke factoren en misbruik van vertrouwensrelaties. De “living-off-the-land” aanpak laat zo min mogelijk sporen na. Maar de social engineering-potentie is voornamelijk groot. Dit is wat je gerust de “X-factor” van de groep mag noemen en is verreweg het lastigste om te kunnen weren. Wie immers goed voorbereid personeel heeft en IT-helpdesks instrueert om voorzichtig te zijn met het herstellen van accounts, levert al gauw extra frictie en frustratie op voor werknemers.
Desondanks neemt de druk op Scattered Spider toe, waardoor de groep zelf wellicht niet meer de dreiging is die het voorheen was. Zonder de vorig jaar gearresteerde leden is het denkbaar dat de groep, met al haar benamingen, verdwijnt. Dit hebben we eerder gezien met Conti, LockBit en vele andere ooit krachtige groeperingen. Maar de individuen worden lang niet allemaal opgepakt en onder nieuwe codenamen blijft de geraffineerde kennis bewaard.