Cyberbende UNC3944, die volgens cybersecuritybedrijf Mandiant in verband kan worden gebracht met recente aanvallen op Snowflake-omgevingen, gebruikt steeds vaker social engineering-tactieken om toegang te krijgen tot SaaS-applicaties. Ook misbruikt het in toenemende mate virtuele machines (VM’s) binnen de SaaS- en cloud-infrastructuur van slachtoffers.
Het ’threat intelligence-team’ van Google Cloud-onderdeel Mandiant meldt in een blogpost dat deze groep, ook bekend als “0ktapus”, “Octo Tempest”, “Scatter Swine” en “Scattered Spider”, minder vaak ransomware gebruikt voor afperspogingen. In plaats daarvan pakken de criminelen steeds vaker gewoon de telefoon voor belletjes naar helpdesks van bedrijven. De aanvallers doen zich voor als legitieme gebruikers, spreken vloeiend Engels en hebben vaak toegang tot de persoonlijke informatie van slachtoffers. Dat stelt ze in staat identiteitscontroles te omzeilen.
Leden van de bende beweren in zulke gevallen dat ze een reset nodig hebben voor hun multi-factor authentication (MFA), met het voorwendsel dat ze bijvoorbeeld een nieuwe telefoon hebben gekregen. Als helpdeskmedewerkers hieraan gehoor geven, gebruiken de aanvallers deze info om wachtwoorden te resetten en MFA-beveiligingen te omzeilen.
Angst aanjagen en dreigen
Als medewerkers hier niet in trappen, dan proberen de hackers hun beoogde slachtoffers angst aan te jagen. Ze dreigen dan hun slachtoffers te doxxen (persoonlijke informatie online verspreiden) of compromitterend materiaal te lekken. Ze schrikken zelfs niet terug voor fysieke dreigementen, door te beloven slachtoffers of familieleden iets aan te doen.
Is het eenmaal gelukt om de digitale infrastructuur van een organisatie binnen te dringen, dan zoeken de aanvallers informatie over tools als VPN’s, virtuele desktops en hulpprogramma’s voor remote working om zich te verzekeren van langdurige toegang. Prioriteit lijkt hier te zijn om toegang te krijgen voor Single Sign-On (SSO)-tools van Okta, omdat ze hiermee accounts kunnen maken en andere systemen kunnen infiltreren.
Okta-machtigingen misbruikt
UNC3944 heeft volgens Mandiant Okta-machtigingen misbruikt door zelf gecompromitteerde accounts toe te wijzen aan applicaties in een Okta-instantie, waardoor de criminelen via de aanvankelijke inbraak op locatie konden uitbreken naar cloud- en SaaS-applicaties, een zogeheten privilege-escalatie. Ook is het hiermee mogelijk beschikbare applicatietegels in het Okta-webportaal te observeren, en zo een indruk te krijgen van de gebruikte tools.
De pijlen van UNC3944 richten zich ook op de vSphere hybrid cloud management tool van VMware en Azure van Microsoft. Nadat de nodige SSO-tools zijn gecompromitteerd, creëert de bende VM’s binnen de omgeving van het slachtoffer. Deze werken met IP-adressen die veilig horen te zijn binnen de organisatie, wat het lastiger maakt kwaadwillende activiteiten op te sporen.
Realtime-detectie is lastig
Traditionele on-prem securitymethoden zoals firewalls en netwerkflowsensoren, zijn vanwege hun netwerkconfiguratie ineffectief bij het detecteren van grote datamigraties uit SaaS-platforms, stelt Mandiant. Realtime detectie van datadiefstal is dan moeilijk, hoewel analyse achteraf van SaaS- en cloudlogs dergelijke incidenten wel aan het licht kunnen brengen.
De criminelen hebben daarnaast andere SaaS-platforms en tools in het vizier, zoals vCenter (eveneens van VMware), CyberArk, Salesforce, CrowdStrike, AWS, Google Cloud Platform en Office 365. De groep maakt gebruik van Microsofts Delve-tool om informatie te identificeren die ze waardevol achten. Met Delve kunnen legitieme medewerkers van een organisatie snel zien tot welke documenten in een Office 365-omgeving ze toegang hebben, het aggregeert onder meer ook e-mails en chatgesprekken. Dat maakt het mogelijk een beeld te vormen van de onderlinge verhoudingen en hiërarchische relaties binnen een organisatie.
Clouddiensten als criminele opslagplaatsen
Goud voor kwaadwillenden, die de buitgemaakte info vervolgens synchroniseren met hulpprogramma’s als Airbyte en Fivetran om deze over te brengen naar cloud-opslag onder hun controle. Die cloudopslag kan zich gewoon bevinden in bijvoorbeeld S3 (simple storage service)-buckets in Amazon Web Services. Ook Google Cloud Platform wordt gebruikt als opslagplaats voor gestolen data.
De groep weet zijn sporen steeds beter uit te wissen, aldus Mandiant, door zelfgemaakte VM’s te versleutelen of data te vernietigen. Hoewel Mandiant sinds begin 2024 geen ransomware-pogingen meer heeft waargenomen van UNC3944, zijn ze hier volgens het cybersecuritybedrijf nog wel degelijk toe in staat.
Niet verwonderlijk adviseert Mandiant dat organisaties zich tegen deze brutale tactieken wapenen door de security van hun SaaS-applicaties omhoog te schroeven en logs van belangrijke SaaS-platforms, MFA-herregistraties en VM-infrastructuur te centraliseren om mogelijke aanvallers snel te detecteren. Het bedrijf adviseert sowieso robuuste logging om tekenen van kwaadaardige activiteiten in elk geval achteraf te kunnen identificeren, vooral in toepassingen die bedrijfseigen of gevoelige informatie bevatten.
Lees ook: Mandiant meldt minstens 165 getroffen Snowflake-klanten bij reeks hackpogingen