Haker poznat kao Muddled Libra cilja na industriju outsourcing-a poslovnih procesa (BPO) upornim napadima koji koriste napredne trikove društvenog inženjeringa kako bi dobili pristup.
“Stil napada koji definiše Muddled Libra pojavio se na radaru kibernetičke bezbjednosti krajem 2022. godine s izdavanjem 0ktapus phishing kit-a, koji je nudio unaprijed izgrađen okvir za hosting i paketne šablone” navodi se u tehničkom izvještaju Palo Alto Networks Unit 42.
Vaga je oznaka koju je kompanija za kibernetičku bezbjednost dala grupama kibernetičkog kriminala. “Zbrkani” nadimak za hakera proizlazi iz preovlađujuće dvosmislenosti u pogledu upotrebe okvira 0ktapus.
0ktapus, takođe poznat kao Scatter Swine, odnosi se na skup upada koji je prvi put izašao na vidjelo u augustu 2022. godine u vezi s napadima na preko 100 organizacija, uključujući Twilio i Cloudflare.
Zatim je krajem 2022. godine CrowdStrike detaljno opisao niz kibernetičkih napada usmjerenih na telekom i BPO kompanije barem od juna 2022. godine pomoću kombinacije phishing-a kredencijala i napada zamjene SIM kartice. Ovaj klaster se prati pod nazivima Roasted 0ktapus, Scattered Spider i UNC3944.
“Jedinica 42 odlučila je da nazove Muddled Libra zbog zbunjujućeg zbrkanog pejzaža povezanog s 0ktapus phishing kompletom” rekao je viši istraživač pretnji Kristopher Russo za The Hacker News.
“Budući da je komplet sada široko dostupan, mnogi drugi hakeri ga dodaju u svoj arsenal. Samo korištenje 0ktapus phishing kompleta ne mora nužno klasifikovati hakera kao ono što Unit 42 naziva Muddled Libra.”
Napadi grupe za ekriminal počinju korištenjem smishing i 0ktapus phishing kompleta za uspostavljanje početnog pristupa i obično završavaju krađom podataka i dugotrajnom postojanošću.
Još jedno jedinstveno obilježje je korištenje ugrožene infrastrukture i ukradenih podataka u nizvodnim napadima na klijente žrtve, au nekim slučajevima čak i ciljanje istih žrtava iznova i iznova kako bi se popunio njihov skup podataka.
Unit 42, koja je istraživala više od 6 incidenata Muddled Libra između juna 2022. godine i početka 2023. godine, okarakterisala je grupu kao upornu i “metodičnu u postizanju svojih ciljeva i vrlo fleksibilnu u svojim strategijama napada” brzo mijenjajući taktiku nakon susreta s preprekama na putu.
Osim što favorizuje širok spektar legitimnih alata za daljinsko upravljanje za održavanje trajnog pristupa, poznato je da Muddled Libra mijenja sigurnosna rešenja krajnjih tačaka za izbjegavanje odbrane i zloupotrebu taktike zamora višefaktorske autentifikacije (MFA) radi krađe kredencijala.
Haker je takođe primijećen kako prikuplja spiskove zaposlenih, radnih mjesta i brojeve mobilnih telefona kako bi izveo napadne i brze bombaške napade. Ako ovaj pristup ne uspije, akteri Muddled Libra kontaktiraju službu za pomoć organizacije predstavljajući se kao žrtva kako bi upisali novi MFA uređaj pod svojom kontrolom.
“Uspjeh Muddled Libra-e u društvenom inženjeringu je značajan” rekli su istraživači. “U mnogim našim slučajevima, grupa je pokazala neuobičajeno visok stepen udobnosti angažujući i službu za pomoć i druge zaposlenike preko telefona, uvjeravajući ih da se uključe u nesigurne radnje.”
U napadima su takođe korišteni alati za krađu kredencijala kao što su Mimikatz i Raccoon Stealer kako bi se poboljšao pristup, kao i drugi skeneri koji olakšavaju otkrivanje mreže i na kraju eksfiltruju podatke sa Confluence, Jira, Git, Elastic, Microsoft 365 i internih platformi za razmjenu poruka.
Unit 42 teoretizovala je da proizvođači 0ktapus phishing kompleta nemaju iste napredne mogućnosti koje posjeduje Muddled Libra, dodajući da ne postoji definitivna veza između hakera i UNC3944 uprkos preklapanju trgovačkog zanata.
“Na raskrsnici lukavog društvenog inženjeringa i okretne tehnološke adaptacije stoji Muddled Libra” rekli su istraživači. “Oni su stručni u nizu sigurnosnih disciplina, sposobni su da napreduju u relativno sigurnim okruženjima i brzo izvršavaju kako bi završili razorne lance napada.”
“Sa intimnim poznavanjem informatičke tehnologije kompanije, ova hakerska grupa predstavlja značajan rizik čak i za organizacije s dobro razvijenom naslijeđenom kibernetičkom odbranom.”
Izvor: The Hacker News