是指一群经常使用相同 频道、黑客论坛和 服务器的网络犯罪分子。
虽然有报道称 是一个有特定成员的有组织团伙,但该组织实际上是一个由讲英语(不一定来自英语国家)的个人组成的松散集体,他们共同合作进行入侵、窃取数据并勒索目标。
目前, 团伙已开始从软件即服务 ( SaaS ) 应用程序中窃取数据,并通过创建新的虚拟机建立持久性。
该团伙还被追踪为 Octo 、、 Swine 和 ,他们通常进行社会工程攻击,使用短信钓鱼、SIM 卡交换和账户劫持来获取本地访问权限。
谷歌网络安全公司 在最近的一份报告中指出, 的策略、技术和程序 ( TTP ) 扩展到云基础设施和 SaaS 应用程序,以窃取数据进行勒索,而无需加密系统。且调查表明,这种目标的改变促使目标行业和组织不断扩大。
针对 SaaS 应用程序的攻击
依靠社会工程技术,通常以公司服务台代理为目标,试图获得特权帐户的初始访问权限。
威胁分子准备有个人信息、职位和经理姓名,以绕过验证流程。他们假装是合法用户,需要重置多因素身份验证 ( MFA ) 来设置新设备。在获得受害者环境的访问权限后,据观察, 使用与受感染帐户相关的 Okta 权限来访问受害者公司的云和 SaaS 应用程序。
表示:” 通过这种权限提升,威胁分子不仅可以滥用利用 Okta 进行单点登录 ( SSO ) 的应用程序,还可以通过使用 Okta Web 门户进行内部侦察,通过直观观察这些角色分配后可用的应用程序图块。”
为了持久性, 在 和 Azure 上创建新的虚拟机,使用它们的管理员权限并配置这些虚拟机以禁用安全保护。
接下来,他们禁用 和 中的其他遥测功能,这些功能允许他们部署横向移动工具,例如 和 框架,以及允许无需 VPN 或 MFA 验证即可访问的隧道实用程序(NGROK、RSOCX 和 )。
威胁分子使用 和 等合法的云同步工具将受害者数据移动到 Cloud ( GCP ) 和 Web ( AWS ) 等知名服务的云存储中。
![byte数据类型_byte占几个字节_byte[]](https://www.taonana.cn/wp-content/uploads/2024/07/1720127092847_0.jpg)
记录数据泄露活动
观察到 转向各种客户端 SaaS 应用程序进行侦察和数据挖掘,例如 、、、Azure、、AWS、 和 GCP。
例如,威胁分子使用 365 的 Delve 搜索和发现工具来识别活跃项目、感兴趣的讨论和机密信息。
![byte[]_byte占几个字节_byte数据类型](https://www.taonana.cn/wp-content/uploads/2024/07/1720127092847_1.jpg)
Delve 查询示例
此外, 还使用端点检测和响应 ( EDR ) 解决方案来测试他们对环境的访问。攻击者在 的外部控制台中创建了 API 密钥,并执行了 和 quser 命令,以了解当前登录用户在系统上的权限以及远程桌面会话主机服务器上的会话。
![byte[]_byte占几个字节_byte数据类型](https://www.taonana.cn/wp-content/uploads/2024/07/1720127092847_2.jpg)
在 上执行的命令
还观察到 以 联合服务 ( ADFS ) 为目标来提取证书。结合 SAML 攻击,攻击者可以获得对基于云的应用程序的持久访问权限。
防御建议
由于内部安全工具在应对基于云的应用程序的数据泄露时大多无能为力,因此公司应该实施多个检测点来识别潜在的危害。
建议重点监控 SaaS 应用程序,包括集中重要服务、MFA 重新注册和虚拟机基础设施的日志,特别关注正常运行时间和新设备的创建。
将基于主机的证书与 VPN 访问的多因素身份验证相结合,并创建更严格的访问策略来控制云租户内部可见的内容,这些措施可以限制潜在的入侵者,降低影响。
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,永久会员只需109元,全站资源免费下载 点击查看详情
站 长 微 信: nanadh666
