谷歌旗下的 Mandiant 表示,出于经济动机的威胁行为者对最近的事件负责 米高梅度假村黑客 一直在扩大其目标以及货币化战略。
追踪为 UNC3944 也被称为 0 层楼、Scatter Swine 和 Scattered Spider,该黑客组织已针对至少 100 个组织,其中大部分位于美国和加拿大。 该组织通常从事短信网络钓鱼活动(短信钓鱼),但一直在扩大其技能和工具库,预计将开始针对更多行业。
Mandiant 还注意到,该组织在 2023 年中期转向勒索软件部署,这可以带来高额利润。 在一些攻击中,他们使用了 ALPHV (BlackCat) 勒索软件,但 Mandiant 认为他们也可以使用其他勒索软件,并且他们可能“结合额外的货币化策略,以在未来实现利润最大化”。
该威胁行为者自 2021 年底以来一直活跃,通常利用短信攻击来获取有效的员工凭证,并通过冒充目标员工联系受害组织的帮助台以获取多重身份验证 (MFA) 代码或重置帐户密码。
在此类通话中,我们观察到黑客组织提供了服务台要求的各种类型的验证信息,包括个人身份信息 (PII)、员工 ID 和用户名。
UNC3944 使用看似合法的网络钓鱼页面,这些页面经常使用服务台或单点登录 (SSO) 诱饵,很可能利用通过对受害者网络的现有访问权限收集的信息来使网络钓鱼更加可信。
自2021年以来,该组织至少使用了三个网络钓鱼工具包,包括EightBait(可以将AnyDesk部署到受害者的系统)和两个使用目标组织网页构建的网络钓鱼工具包,它们之间几乎没有代码更改。
除了网络攻击和社会工程之外,该组织还被发现使用凭据收集工具,彻底搜索受害者的内部系统以识别有效的登录信息,使用公开可用的工具从内部 GitHub 存储库以及开源工具 MicroBurst 收集凭据识别 Azure 凭据和机密。
据 Mandiant 称,UNC3944 似乎还使用信息窃取程序来获取凭证,包括 Ultraknot(也称为 Meduza 窃取程序)、Vidar 和 Atomic。
“UNC3944 入侵的一个共同特点是它们对受害者云资源的创造性、持久性和日益有效的攻击目标。 这种策略允许威胁行为者为他们的后续行动建立立足点,执行网络和目录侦察,并访问许多敏感系统和数据存储,”Mandiant 说。
Mandiant 还观察到 UNC3944 滥用 Microsoft Entra 环境来访问受限资源、创建虚拟机进行不受监控的访问、滥用 Azure 数据工厂来窃取数据,以及利用对受害者云环境的访问来托管恶意工具并进行横向移动。
“UNC3944 是一个不断演变的威胁,它不断扩大其技能和战术,以成功实现其货币化策略的多样化。 我们预计这些威胁行为者将随着时间的推移继续改进他们的间谍手段,并可能利用地下社区的支持来提高他们的行动效率。”Mandiant 指出。
1694910080
#米高梅黑客扩大目标和货币化策略
2023-09-15 13:42:12
