Nuove Campagne Malevole di Scattered Spider: Una Minaccia in Crescita

Sandro Sana : 17 Maggio 2024 10:03

Il gruppo di attori di minacce Scattered Spider è responsabile di una serie di attacchi a diverse aziende nei settori della finanza e dell’assicurazione.

Chi è Scattered Spider?

Scattered Spider noto anche come UNC3944, Scatter Swine e Muddled Libra è un gruppo di attori di minacce che opera dal maggio 2022. Il gruppo è classificato come una minaccia persistente avanzata (APT), che conduce attacchi motivati finanziariamente. Il gruppo è specializzato in attacchi di tipo “adversary-in-the-middle” (AiTM), ingegneria sociale e tecniche di SIM-swapping. Queste tecniche consentono loro di intercettare le comunicazioni tra le vittime e i loro fornitori di servizi, rubare le credenziali degli utenti e ottenere l’accesso ai dati e agli asset aziendali sensibili.

Nel primo anno di attività, Scattered Spider ha preso di mira principalmente le aziende di telecomunicazioni, per accedere ai sistemi di gestione degli account cellulari e condurre attacchi di SIM-swapping contro altri obiettivi.

Il gruppo si distingue per il suo contatto spavaldo con le vittime; Scattered Spider è noto per chiamare i dipendenti delle organizzazioni vittime per ingannarli socialmente. Nell’estate del 2023, Scattered Spider ha cambiato il suo obiettivo e ha iniziato a collaborare con BlackCat/ALPHV per estorcere denaro a grandi e redditizie aziende come Caesars Entertainment e MGM Resorts. Scattered Spider ha continuato a prendere di mira grandi aziende e fornitori di telecomunicazioni, ma si differenzia per il fatto di mirare a vittime specifiche invece che attaccarle in modo opportunistico.

Scattered Spider: come riconoscere e prevenire i suoi attacchi AiTM

Uno dei metodi principali utilizzati da Scattered Spider per condurre i suoi attacchi AiTM è il phishing, ovvero l’invio di email fraudolente che sembrano provenire da fonti legittime. Il gruppo usa domini simili a quelli delle organizzazioni vittime, come caesarsentertainment[.]net o okta-services[.]com, per ingannare i destinatari e indurli a cliccare su link o allegati maligni. Questi link portano a pagine fasulle che imitano le interfacce di Okta o dei sistemi di gestione dei contenuti (CMS) usati dalle aziende. Se gli utenti inseriscono le loro credenziali in queste pagine, Scattered Spider le ruba e le usa per accedere ai sistemi della vittima.

Per difendersi da questo tipo di attacco, le aziende dovrebbero adottare le seguenti misure:

• Controllare regolarmente e monitorare i domini simili a quelli della propria organizzazione, e segnalare quelli sospetti alle autorità competenti.
• Addestrare i dipendenti a identificare i domini e le pagine di accesso simili, e a verificare sempre l’URL e il certificato SSL prima di inserire le proprie credenziali.
• Educare i dipendenti sui rischi del phishing mirato, del smishing (ovvero il phishing tramite SMS) e del fishing (ovvero il phishing tramite telefonate), e incoraggiarli a segnalare qualsiasi tentativo sospetto al reparto IT.

Nella sua campagna contro Okta, Scattered Spider ha utilizzato le seguenti tecniche:

• Phishing: Scattered Spider ha condotto campagne di spear phishing utilizzando domini simili a quelli dei loro obiettivi e li ha utilizzati per ospitare false pagine di login di Okta. Ad esempio, hanno utilizzato domini di phishing nel formato di “`victimname-sso[.]com`”, “`victimname-servicedesk[.]com`” e “`victimname-okta[.]com`”
• Ingegneria sociale: Scattered Spider è noto per contattare i dipendenti delle organizzazioni vittime per ingannarli. Nella campagna Okta, gli aggressori avevano o le password degli account utente privilegiati o erano in grado di manipolare il flusso di autenticazione delegata tramite Active Directory (AD) prima di chiamare il servizio di assistenza IT presso un’organizzazione bersaglio, richiedendo un reset di tutti i fattori MFA nell’account bersaglio.
• Evasione della rilevazione: Scattered Spider utilizza tattiche di fatica delle notifiche di autenticazione multifattore (MFA) per catturare codici OTP o sopraffare i bersagli.

Malware usati da Scattered Spider

WarzoneRAT

WarzoneRAT è un trojan di accesso remoto che consente agli attaccanti di controllare le macchine infette, eseguire comandi, rubare dati, catturare schermate, registrare audio e video, e installare ulteriori payload. WarzoneRAT viene distribuito tramite e-mail di phishing che contengono allegati infetti o link a siti web compromessi. Una volta eseguito, il malware si connette a un server di comando e controllo (C2) e attende le istruzioni degli attaccanti. WarzoneRAT ha diverse funzionalità, tra cui:

• Keylogging: registra i tasti premuti dalle vittime e li invia al server C2.
• File Manager: consente agli attaccanti di visualizzare, modificare, eliminare, caricare e scaricare i file dalle macchine infette.
• Process Manager: consente agli attaccanti di visualizzare, terminare e avviare i processi in esecuzione sulle macchine infette.
• Remote Desktop: consente agli attaccanti di accedere al desktop delle vittime e controllarlo da remoto.
• Remote Shell: consente agli attaccanti di eseguire comandi arbitrari sulle macchine infette tramite una shell remota.
• Webcam Capture: consente agli attaccanti di accedere alla webcam delle vittime e catturare immagini e video.
• Microphone Capture: consente agli attaccanti di accedere al microfono delle vittime e registrare l’audio.
• Clipboard Manager: consente agli attaccanti di visualizzare e modificare il contenuto degli appunti delle vittime.
• Password Stealer: consente agli attaccanti di rubare le password salvate dai browser, dai client di posta elettronica e da altri programmi.
• Persistence: consente al malware di sopravvivere ai riavvii del sistema e di nascondersi dalle soluzioni antivirus.

BlackCat

BlackCat è un ransomware che crittografa i file delle vittime con un algoritmo AES-256 e richiede un riscatto in Bitcoin per la chiave di decrittografia. BlackCat viene distribuito tramite WarzoneRAT, che lo scarica e lo esegue sulle macchine infette. Una volta eseguito, il ransomware inizia a crittografare i file con determinate estensioni, tra cui documenti, immagini, video, audio, archivi e database.

Il ransomware aggiunge l’estensione .blackcat ai file crittografati e crea un file di testo chiamato HOW_TO_DECRYPT.txt in ogni cartella. Il file di testo contiene il messaggio degli attaccanti, che richiede alle vittime di contattarli tramite e-mail o Telegram e di pagare un riscatto variabile in Bitcoin per ricevere la chiave di decrittografia. Il ransomware minaccia anche di cancellare i file delle vittime se non pagano entro un certo periodo di tempo o se provano a ripristinarli con altri mezzi.

Tool usati da Scattered Spider

Oltre ai malware, Scattered Spider usa anche diversi tool per facilitare le sue operazioni di hacking. Tra questi, si possono citare:

• ngrok: uno strumento che consente di creare tunnel sicuri verso le macchine infette, bypassando i firewall e i dispositivi di rete.
• Mimikatz: uno strumento che consente di estrarre le credenziali di accesso dal sistema operativo Windows, sfruttando le vulnerabilità del processo LSASS.
• LaZagne: uno strumento che consente di recuperare le password salvate da diversi programmi, tra cui browser, client di posta elettronica, gestori di password e altro.
• Impacket: una raccolta di script Python che consente di manipolare i protocolli di rete, tra cui SMB, Kerberos, MSRPC e altro.

Attack Patterns usati da Scattered Spider

Per realizzare questo attacco, Scattered Spider segue gli attack patterns seguenti:

• T1585: Acquisizione di credenziali. Gli attaccanti cercano di ottenere le credenziali degli utenti o degli amministratori tramite phishing, keylogging o altri metodi.
• T1589: Attacco tramite posta elettronica. Gli attaccanti inviano email fraudolente contenenti allegati o link maliziosi a destinatari selezionati in base al loro ruolo o alla loro posizione nella gerarchia aziendale.
• T1666: Creazione di account. Gli attaccanti creano nuovi account o modificano quelli esistenti per avere accesso ai sistemi o alle risorse della vittima.
• T1602: Esecuzione di codice remoto. Gli attaccanti eseguono codice arbitrario sulle macchine compromesse tramite la vulnerabilità CVE-2024-22024 o altre tecniche.
• T1606: Installazione di backdoor. Gli attaccanti installano programmi o script che consentono loro di accedere in modo persistente e nascosto ai sistemi infetti.
• T1588: Impostazione dell’infrastruttura di comando e controllo. Gli attaccanti stabiliscono una comunicazione bidirezionale tra le macchine infette e i propri server, tramite protocolli comuni come HTTP, HTTPS o DNS.
• T1586: Raccolta di informazioni sensibili. Gli attaccanti cercano di raccogliere e rubare dati personali, finanziari o aziendali dalle macchine infette, come documenti, credenziali, chiavi di crittografia o registri di attività.
• T1598: Cancellazione o modifica dei dati. Gli attaccanti cancellano o modificano i dati presenti sulle macchine infette, per nascondere le proprie tracce, danneggiare la vittima o chiedere un riscatto.

Settori di interesse di Scattered Spider

Gli attaccanti di Scattered Spider hanno dimostrato una preferenza per i settori delle telecomunicazioni, della finanza, dell’assicurazione, della tecnologia e del retail. Questi settori sono spesso più vulnerabili agli attacchi informatici, in quanto gestiscono grandi quantità di dati sensibili e dipendono da sistemi complessi e interconnessi. Tra i target italiani più noti di Scattered Spider ci sono le seguenti aziende:

• Telecom Italia, una delle principali compagnie telefoniche italiane, che ha subito un attacco di ransomware nel 2017, con la richiesta di 20.000 euro in bitcoin per il ripristino dei dati.
• Banca Monte dei Paschi di Siena, la più antica banca al mondo, che ha subito un attacco di phishing nel 2019, con il furto di dati personali e bancari di migliaia di clienti.
• AXA, una delle più grandi compagnie assicurative al mondo, che ha subito un attacco di DDoS nel 2020, con la paralisi dei suoi siti web e servizi online in diversi paesi europei.
• Microsoft, una delle più importanti aziende tecnologiche al mondo, che ha subito un attacco di supply chain nel 2020, con la compromissione del suo software SolarWinds Orion e la diffusione di malware a molte altre organizzazioni.
• Carrefour, una delle più grandi catene di supermercati al mondo, che ha subito un attacco di skimming nel 2020, con il furto di dati di carte di credito di milioni di clienti.

Conclusioni

Questi sono solo alcuni esempi di come il gruppo di hacker Scattered Spider abbia condotto una campagna di phishing su larga scala, sfruttando le vulnerabilità di Okta e CMS per accedere ai dati sensibili di numerose organizzazioni. L’obiettivo della campagna era quello di estorcere denaro, informazioni o servizi alle vittime, minacciando di esporre i loro dati o di compromettere ulteriormente i loro sistemi. La campagna ha dimostrato la sofisticazione e l’audacia degli attaccanti, che hanno saputo adattarsi rapidamente alle contromisure e cambiare le loro tattiche.

La gravità di questa campagna è evidenziata dal fatto che gli hacker sono riusciti a ottenere una quantità enorme di credenziali degli utenti, che potrebbero essere usate per accedere ad altre piattaforme o servizi. Si teme che queste credenziali possano essere presto pubblicate o vendute nel dark web, esponendo le vittime a ulteriori rischi e danni. Per prevenire e contrastare questo tipo di attacchi, è necessario rafforzare la sicurezza informatica, sensibilizzare gli utenti e collaborare tra le varie entità coinvolte.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore