Scattered Spider já fez ataques em redes móveis de operadoras e agora foca em infraestruturas críticas atrás de rendimentos
O grupo criminoso Scattered Spider, que também se identifica por diversos outros nomes, como UNC3944, Scatter Swine, Muddled Libra e Roasted 0ktapus, está ativo desde maio de 2022 e tem focado em atacar organizações de infraestruturas críticas. Isso foge do padrão da quadrilha, que atacava empresas de telecomunicações e terceirização de processos de negócios (BPO).
Apesar dessa mudança nos alvos, o Scattered Spider continua a aproveitar uma variedade de táticas de engenharia social, incluindo phishing por Telegram e SMS, troca de SIM, MFA fatigue e outras táticas como parte de seus ataques. Este grupo tem sido frequentemente observado se passando por técnicos de TI para convencer indivíduos a compartilhar suas credenciais ou conceder acesso remoto a seus computadores.
Segundo o Advanced Research Center da Trellix, o Scattered Spider é conhecido por roubar dados confidenciais e por aproveitar infraestrutura organizacional confiável para ataques subsequentes a clientes downstream.
Histórico de atuação
Em dezembro de 2022, a Scattered Spider conduziu campanhas direcionadas a organizações de telecomunicações e BPO. O objetivo da campanha era obter acesso às redes das operadoras móveis e, conforme evidenciado em duas investigações, realizar atividades de troca de SIM.
O acesso inicial foi variado: por meio de engenharia social usando chamadas telefônicas e mensagens de texto para se passar por pessoal de TI e direcionando as vítimas para um local de coleta de credenciais ou direcionando as vítimas para executar ferramentas comerciais de monitoramento e gerenciamento remoto (RMM).
As campanhas foram extremamente persistentes e descaradas. Assim que o hacker foi contido ou as operações interrompidas, eles imediatamente passaram a atacar outras organizações nos setores de telecomunicações e BPO.
Explorações de vulnerabilidade
Sabe-se que o Scattered Spider explora CVE-2015-2291, que é uma vulnerabilidade no driver de diagnóstico Intel Ethernet para Windows (iqvw64.sys) que permite que usuários locais causem uma negação de serviço ou possivelmente executem código arbitrário com privilégios de kernel por meio de um ( a) 0x80862013, (b) 0x8086200B, (c) 0x8086200F ou (d) 0x80862007 chamada IOCTL.
O Scattered Spider explorou o CVE-2015-2291 para implantar um driver de kernel malicioso no driver de diagnóstico Intel Ethernet para Windows (iqvw64.sys).
Além disso, o Scattered Spider explorou CVE-2021-35464, que é uma falha no servidor ForgeRock AM. As versões do servidor ForgeRock AM anteriores à 7.0 possuem vulnerabilidade de de serialização Java no parâmetro jato.pageSession em múltiplas páginas. A exploração não requer autenticação e a execução remota de código pode ser acionada enviando uma única solicitação /ccversion/* criada ao servidor.
A vulnerabilidade existe devido ao uso do Sun ONE Application Framework (JATO) encontrado nas versões do Java 8 ou anteriores. O Scattered Spider explorou CVE-2021-35464 para executar código e elevar seus privilégios sobre o usuário Apache Tomcat em uma instância AWS. Isso foi conseguido solicitando e assumindo as permissões de uma função de instância usando um token AWS comprometido.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e Twitter.
