Actualidad

El actor de amenazas se dirige a los proveedores de servicios de telecomunicaciones y altera los métodos defensivos cuando se lo detecta

Estás leyendo la publicación: El actor de amenazas se dirige a los proveedores de servicios de telecomunicaciones y altera los métodos defensivos cuando se lo detecta

En un ataque reciente, un actor de amenazas secuestró a proveedores de servicios de telecomunicaciones y empresas de subcontratación de procesos comerciales, alterando diligentemente la mitigación defensiva que se aplicó cuando se detectaron los ataques.

Los ataques fueron descubiertos por Multitud de huelga, que menciona que estos ataques han estado ocurriendo desde junio de 2022 y aún continúan y los investigadores ya han identificado cinco intrusiones diferentes. Estos ataques parecen estar impulsados ​​por el dinero.

Los investigadores de la firma CrowdStrike que rastrearon estos ataques los alinearon con Scattered Spider, de baja confianza, que muestra persistencia en mantener el acceso, alterar la mitigación defensiva, evitar la detección y recurrir a diferentes objetivos válidos si se agacha.

Bueno, la firma de seguridad dice que el objetivo principal de las campañas es ingresar a los sistemas de redes de telecomunicaciones, obtener acceso a la información de los suscriptores y realizar otras actividades como intercambiar tarjetas SIM.

Resumen de intrusiones de arañas dispersasResumen de intrusiones de arañas dispersas (Créditos – CrowdStrike)

Los piratas informáticos obtienen acceso inicial a la empresa de telecomunicaciones cooperativa aplicando numerosas técnicas de ingeniería social, que incluyen hacerse pasar por personal de telecomunicaciones, utilizar medios como SMS o una aplicación de mensajería instantánea como Telegram para redirigir a los objetivos a sitios web de phishing personalizados que tienen el logotipo de la empresa.

Bueno, si la empresa utiliza MFA (autenticación multifactor), los atacantes de amenazas implementan notificaciones push MFA Fatigue, que ocurre esencialmente cuando un pirata informático ejecuta scripts que intentan iniciar sesión con las credenciales robadas, una y otra vez, haciendo que parezca Un flujo interminable de solicitudes push de MFA al teléfono del propietario. Además, aplicando otras tácticas de ingeniería social.

🔥 Recomendado:  Understanding and Obtaining Site Links

Leer: ¿Qué es una cuenta Burner? ¿Es útil?

Además de esto, los piratas informáticos, en un caso, explotaron la CVE-2021-35464 para ejecutar códigos y levantar sus privilegios usando el caso de AWS aprovechando el caso de AWS para asumir o elevar privilegios al usuario de Apache tomcat, el actor de amenazas luego solicitará y asumirá el permiso de una función de instancia usando un token de AWS infectado, menciona la firma de seguridad. .

Comandos que utilizan la escalada de privilegios en AWS mediante la herramienta LinPEAS Comandos que utilizan la escalada de privilegios en AWS mediante la herramienta LinPEAS Comandos que usan escalada de privilegios en AWS usando la herramienta LinPEAS (Créditos – CrowdStrike)

Además, una vez que los piratas informáticos obtienen acceso al sistema, intentan agregar sus dispositivos a la lista de listas MFA confiables utilizando la cuenta de usuario comprometida.

CrowdStrike también descubrió que los piratas informáticos están utilizando el siguiente mecanismo de monitoreo remoto y herramientas de administración para su campaña:

Estar en cualquier lugar
Domotz
servicio DW
Fixme.it
cualquier escritorio
Fleetdesk.io
Administrador de terminales de Itarian.
Nivel.io
Administrar motor
N-Capaz
Informe
Conexión de pantalla
Visor de equipo
Campo base de TrendMicro
Nivel cero
Pulseway
rsocx
Iniciar sesión
SSH RevShell y RDP Tunelling a través de SSH
Sorilo

La mayoría de estos son software confiables que utiliza la empresa y es poco probable que proporcionen alertas sobre software de seguridad. Además, las intrusiones detectadas por las empresas de seguridad mencionan que los piratas informáticos fueron feroces en sus intentos de mantener el acceso a la red violada incluso después de ser detectados.

Además, en las otras dos observaciones, los actores de amenazas aparentemente se volvieron más activos e implementaron métodos de persistencia como acceso VPN (red privada virtual) o herramientas RMM si estas mitigaciones se aplicaban lentamente.

En algunos de los otros casos, el adversario volvió a algunos de los métodos severos al volver a habilitar las cuentas que anteriormente habían sido deshabilitadas por la organización víctima.

🔥 Recomendado:  Más de 8 mejores aplicaciones para descargar vídeos de YouTube sin conexión

CrowdStrike agregó además que los actores de amenazas utilizaron varias VPN e ISP para acceder a la organización de la víctima, Google Workspace Environment, y los adversarios obtuvieron varios tipos de información de espionaje, descargaron listas de usuarios de los inquilinos comprometidos, explotaron WMI y SSH Tunneling y replicaciones de dominio.

Leer: El malware Dolphin del grupo A37 se utiliza para robar datos y atacar papel de Corea del Sur

Otros temas interesantes: