O ator de ameaça conhecido como Libra confusa foi observado visando ativamente aplicativos de software program como serviço (SaaS) e ambientes de provedores de serviços em nuvem (CSP) em uma tentativa de exfiltrar dados confidenciais.
“As organizações geralmente armazenam uma variedade de dados em aplicativos SaaS e usam serviços de CSPs”, disse a Unidade 42 da Palo Alto Networks em um relatório publicado na semana passada.
“Os atores da ameaça começaram a tentar aproveitar alguns desses dados para ajudar na progressão do ataque e para extorquir ao tentar monetizar seu trabalho”.
Muddled Libra, também chamado de Starfraud, UNC3944, Scatter Swine e Scattered Spider, é um notório grupo cibercriminoso que aproveitou técnicas sofisticadas de engenharia social para obter acesso inicial às redes-alvo.
“Os atores da ameaça Scattered Spider têm historicamente evitado a detecção em redes-alvo usando técnicas de vida fora da terra e aplicativos permitidos para navegar nas redes das vítimas, bem como modificando frequentemente seus TTPs”, disse o governo dos EUA em um comunicado no remaining do ano passado.
Os invasores também têm um histórico de monetizar o acesso às redes das vítimas de diversas maneiras, incluindo extorsão possibilitada por ransomware e roubo de dados.
A Unidade 42 disse anteriormente ao The Hacker Information que o apelido “Muddled Libra” vem do “cenário confuso e confuso” associado ao package de phishing 0ktapus, que foi usado por outros atores de ameaças para realizar ataques de coleta de credenciais.
Um aspecto basic da evolução tática do agente da ameaça é o uso de técnicas de reconhecimento para identificar os usuários administrativos a serem atingidos quando se fazem passar por funcionários do suporte técnico, por meio de chamadas telefônicas para obter suas senhas.
A fase de reconhecimento também se estende ao Muddled Libra, que realiza extensas pesquisas para encontrar informações sobre os aplicativos e os provedores de serviços em nuvem usados pelas organizações-alvo.
“Os ataques de representação entre locatários do Okta que ocorreram do remaining de julho ao início de agosto de 2023, onde o Muddled Libra contornou as restrições de IAM, mostram como o grupo explora o Okta para acessar aplicativos SaaS e os vários ambientes CSP de uma organização”, explicou a pesquisadora de segurança Margaret Zimmermann.
As informações obtidas nesta fase servem como um trampolim para a realização de movimentos laterais, abusando das credenciais de administrador para acessar portais de logon único (SSO) para obter acesso rápido a aplicativos SaaS e infraestrutura em nuvem.
Caso o SSO não esteja integrado ao CSP de um alvo, a Muddled Libra realiza amplas atividades de descoberta para descobrir as credenciais do CSP, provavelmente armazenadas em locais não seguros, para atingir seus objetivos.
Os dados armazenados com aplicativos SaaS também são usados para coletar detalhes sobre o ambiente infectado, capturando o máximo de credenciais possível para ampliar o escopo da violação por meio de escalonamento de privilégios e movimentação lateral.
“Uma grande parte das campanhas da Muddled Libra envolve a coleta de inteligência e dados”, disse Zimmermann.
“Os invasores então usam isso para gerar novos vetores para movimento lateral dentro de um ambiente. As organizações armazenam uma variedade de dados em seus ambientes CSP exclusivos, tornando esses locais centralizados um alvo principal para o Confuso Libra.”
Essas ações destacam especificamente Amazon Internet Companies (AWS) e Microsoft Azure, visando serviços como AWS IAM, Amazon Easy Storage Service (S3), AWS Secrets and techniques Supervisor, chaves de acesso de conta de armazenamento Azure, Azure Blob Storage e Azure Information para extrair dados relevantes .
A exfiltração de dados para uma entidade externa é conseguida através do abuso de serviços e recursos legítimos do CSP. Isso abrange ferramentas como AWS DataSync, AWS Switch e uma técnica chamada snapshot, a última das quais torna possível mover dados de um ambiente Azure, organizando os dados roubados em uma máquina digital.
A mudança tática da Libra confusa exige que as organizações protejam seus portais de identidade com proteções robustas de autenticação secundária, como tokens de {hardware} ou biometria.
“Ao expandir suas táticas para incluir aplicativos SaaS e ambientes em nuvem, a evolução da metodologia da Muddled Libra mostra a multidimensionalidade dos ataques cibernéticos no cenário de ameaças moderno”, concluiu Zimmermann. “O uso de ambientes em nuvem para coletar grandes quantidades de informações e exfiltrá-las rapidamente representa novos desafios para os defensores.”
