In het afgelopen jaar hebben we een sterke toename gezien in bedreigingen die zich over meerdere domeinen uitstrekken. Deze activiteiten omvatten verschillende onderdelen binnen de IT-architectuur van een organisatie, zoals identity, cloudomgevingen en endpoints. Deze aanvallen laten minimale sporen achter in elk domein, vergelijkbaar met afzonderlijke puzzelstukjes, waardoor ze moeilijker te detecteren zijn.
Hoewel cross-domein-inbraken in complexiteit verschillen, ziet CrowdStrike steeds vaker aanvallen waarbij gestolen inloggegevens worden gebruikt om cloudomgevingen binnen te dringen en zich vervolgens lateraal door endpoints te verplaatsen. Dit wordt versterkt door geavanceerde phishingtechnieken en de verspreiding van infostealers. Zodra aanvallers inloggegevens verkrijgen of stelen, kunnen ze direct toegang krijgen tot slecht geconfigureerde cloudomgevingen en sterk beveiligde endpoints omzeilen. Met deze toegang maken ze vaak gebruik van tools voor remote monitoring en beheer (RMM) in plaats van malware, wat het moeilijk maakt om deze aanvallen te detecteren en te stoppen.
Lees ook: Hoe ziet het cyberbedreigingslandschap er nu uit?
SCATTERED SPIDER: Meester in cross-domein aanvalstechnieken
Een van de meest bedreven tegenstanders in cross-domain aanvallen is de beruchte eCrime-groep SCATTERED SPIDER. In 2023 en 2024 toonde SCATTERED SPIDER geavanceerde cross-domein methodes binnen gerichte cloudomgevingen, waarbij vaak gebruik werd gemaakt van spear-phishing, beleidsaanpassingen en toegang tot wachtwoordmanagers.
In mei 2024 observeerde CrowdStrike dat SCATTERED SPIDER voet aan de grond kreeg op een virtuele machine (VM) gehost in een cloudomgeving via een cloud service VM-beheeragent. De tegenstander wist bestaande inloggegevens te onderscheppen via een phishingcampagne en zo toegang te krijgen tot het cloudbeheerplatform. Eenmaal binnen wisten ze hun aanwezigheid blijvend te verzekeren.
Deze aanval vond plaats over drie operationele domeinen: e-mail, cloudbeheer en de virtuele machine zelf. Hierdoor was de detecteerbare voetafdruk in elk domein minimaal, wat het identificeren met traditionele detectiemethoden op basis van handtekeningen moeilijker maakte. Om deze aanval te herkennen, was uitgebreide dreigingsinformatie en kennis van de tactieken van SCATTERED SPIDER noodzakelijk. Door de telemetrie van het cloudbeheerplatform te combineren met de detecties binnen de virtuele machine, konden threat hunters de aanval tijdens de uitvoering opmerken en tijdig stoppen.
Noord-Korea’s FAMOUS CHOLLIMA
De met Noord-Korea geassocieerde tegenstander FAMOUS CHOLLIMA vormt een unieke uitdaging voor threat hunters met een zeer geavanceerde aanvalscampagne die de technologische grenzen overstijgt. In dit omvangrijke insiderschema wisten kwaadwillende actoren contract- of fulltimeposities te bemachtigen door gebruik te maken van vervalste of gestolen identiteitsdocumenten om controles te omzeilen. Hun cv’s vermeldden vaak werkervaring bij gerenommeerde bedrijven, zonder tussenperiodes, waardoor ze oprecht leken.
In april 2024 reageerde CrowdStrike op het eerste van verschillende incidenten waarbij FAMOUS CHOLLIMA meer dan 30 Amerikaanse organisaties aanviel, waaronder bedrijven in de luchtvaart-, defensie-, retail- en technologiesector. Op basis van gegevens uit een enkel incident ontwikkelden threat hunters een schaalbaar plan om deze opkomende insider threat te bestrijden en identificeerden ze binnen twee dagen meer dan 30 andere getroffen klanten.
In veel gevallen probeerde de tegenstander gegevens buit te maken en RMM-tools te installeren door gebruik te maken van netwerkreferenties van het bedrijf om ongeautoriseerde toegang te verkrijgen. CrowdStrike’s threat hunters zochten naar RMM-tools in combinatie met verdachte netwerkverbindingen om aanvullende gegevens bloot te leggen en ongebruikelijke gedragingen te identificeren. Tegen medio 2024 had het Amerikaanse ministerie van Justitie verschillende personen aangeklaagd die bij dit plan betrokken waren, dat waarschijnlijk Noord-Koreaanse burgers in staat stelde fondsen te werven voor de regering en haar wapenprogramma’s. De inspanningen van CrowdStrike samen met instanties en de inlichtingendiensten waren cruciaal voor het aan het licht brengen van deze kwaadwillige activiteiten en het tegenhouden van de enorme bedreiging.
De puzzelstukjes samenbrengen: Cross-domein aanvallen stoppen
Om complexe cross-domein bedreigingen effectief te bestrijden, is het belangrijk om voortdurend alert te zijn op veranderingen in gedrag en operaties. Dit maakt een intelligence-gedreven benadering van threat hunting cruciaal. Het stoppen van deze nieuwe soorten aanvallen vereist een geïntegreerde aanpak die mensen, processen en technologieën samenbrengt. CrowdStrike adviseert organisaties om de volgende strategieën toe te passen:
- Volledige zichtbaarheid: Gecoördineerde zichtbaarheid binnen de organisatie (cloudomgevingen, endpoints en identities) is essentieel om cross-domein aanvallen te detecteren en te correleren. Deze aanpak voorkomt dat tegenstanders lateraal door omgevingen bewegen, verbetert de responstijd en verkleint de kans dat incidenten escaleren naar datalekken.
- Integreer cross-domein threat hunting: 24/7 real-time threat hunters kunnen proactief zoeken naar kwaadwillend gedrag binnen verschillende beveiligingslagen. Door voortdurend de activiteiten van werknemers te monitoren, kunnen ze afwijkingen van normaal gedrag opmerken, zoals ongebruikelijke toepassing van RMM-tools.
- Focus op identity: Identity is een van de snelst groeiende dreigingsvectoren. Om risico’s te verminderen, moeten organisaties geavanceerde identity verificatieprocessen implementeren, zoals multi-factor authenticatie en biometrische controles. Naast het opzetten van sterke authenticatieprocedures, moet ook Identity Protection worden geïmplementeerd om afwijkende authenticatie-gebeurtenissen te detecteren voordat ze escaleren naar een uitbraak.
In een tijd waarin cross-domain aanvallen steeds geavanceerder worden, is het onvoldoende om alleen te vertrouwen op geautomatiseerde oplossingen. Deze sluwe dreigingen opereren namelijk op verschillende niveaus, zoals identity, cloudomgevingen en endpoints. Ze vereisen een mix van geavanceerde technologie, waardevolle menselijke expertise en actuele telemetrie voor proactieve besluitvorming. Threat hunters en intelligence analisten spelen een cruciale rol in het identificeren, begrijpen en neutraliseren van deze voortdurend veranderende gevaren voordat ze schade kunnen aanrichten.
Dit is een ingezonden bijdrage van CrowdStrike. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.