یک عامل تهدید به نام Muddled Libra صنعت برون سپاری فرآیند کسب و کار (BPO) را با حملات مداوم هدف قرار می دهد که از ترفندهای پیشرفته مهندسی اجتماعی برای دستیابی به دسترسی اولیه استفاده می کند.
Palo Alto Networks Unit 42 در گزارشی فنی گفت: «سبک حمله تعریفکننده Muddled Libra در اواخر سال 2022 با انتشار کیت فیشینگ 0ktapus که یک چارچوب میزبانی از پیش ساخته شده و قالبهای همراه ارائه میداد، در رادار امنیت سایبری ظاهر شد.
Libra نامی است که توسط شرکت امنیت سایبری برای گروه های جرایم سایبری داده شده است. نام "درهم" برای بازیگر تهدید ناشی از ابهام غالب در مورد استفاده از چارچوب 0ktapus است.
0ktapus، همچنین به عنوان Scatter Swine شناخته می شود، به مجموعه نفوذی اطلاق می شود که برای اولین بار در آگوست 2022 در ارتباط با حملات کوبنده علیه بیش از 100 سازمان از جمله Twilio و Cloudflare آشکار شد.
سپس در اواخر سال 2022، CrowdStrike مجموعهای از حملات سایبری را که حداقل از ژوئن 2022 علیه شرکتهای مخابراتی و BPO با هدف ترکیبی از حملات فیشینگ اعتبار و تعویض سیمکارت انجام میشد، شرح داد. این خوشه با نامهای Roasted 0ktapus، Scattered Spider و UNC3944 ردیابی میشود.
کریستوفر روسو، محقق ارشد تهدید، به هکر نیوز گفت: «واحد 42 تصمیم گرفت که Libra Muddled را به دلیل منظره گیجکننده مرتبط با کیت فیشینگ 0ktapus انتخاب کند.
از آنجایی که این کیت در حال حاضر به طور گسترده در دسترس است، بسیاری از عوامل تهدید دیگر آن را به زرادخانه خود اضافه می کنند. استفاده از کیت فیشینگ 0ktapus به تنهایی لزوماً یک عامل تهدید را به عنوان چیزی طبقه بندی نمی کند که واحد 42 آن را Muddled Libra می نامد.
حملات گروه جنایات الکترونیکی با استفاده از کیت فیشینگ و فیشینگ 0ktapus برای ایجاد دسترسی اولیه آغاز می شود و معمولاً با سرقت داده ها و تداوم طولانی مدت پایان می یابد.
یکی دیگر از ویژگیهای منحصربهفرد استفاده از زیرساختهای آسیبدیده و دادههای سرقتشده در حملات پاییندستی به مشتریان قربانی، و حتی در برخی موارد، هدف قرار دادن بارها و بارها همان قربانیان برای پر کردن مجموعه دادههای آنها است.
واحد 42 که بیش از نیم دوجین حادثه Libra را بین ژوئن 2022 و اوایل سال 2023 مورد بررسی قرار داد، این گروه را بهعنوان سرسخت و «روشکار در تعقیب اهداف خود و بسیار انعطافپذیر در استراتژیهای حمله خود» توصیف کرد و به سرعت تاکتیکها را پس از مواجهه با موانع تغییر داد.
علاوه بر استفاده از طیف وسیعی از ابزارهای قانونی مدیریت از راه دور برای حفظ دسترسی مداوم، Muddled Libra به دستکاری راهحلهای امنیتی نقطه پایانی برای فرار دفاعی و سوء استفاده از تاکتیکهای خستگی اعلان احراز هویت چندعاملی (MFA) برای سرقت اعتبار میپردازد.
عامل تهدید همچنین در حال جمعآوری لیستهای کارمندان، نقشهای شغلی و شماره تلفنهای همراه برای انجام حملات انفجاری و سریع بمبگذاری مشاهده شده است. اگر این رویکرد شکست بخورد، بازیگران Muddled Libra با میز کمک سازمان تماس می گیرند که به عنوان قربانی ظاهر می شوند تا یک دستگاه جدید MFA را تحت کنترل خود ثبت نام کنند.
محققان گفتند: «موفقیت مهندسی اجتماعی Muddled Libra قابل توجه است. در بسیاری از پروندههای ما، این گروه درجه بالایی از راحتی را در ارتباط با میز کمک و سایر کارمندان از طریق تلفن نشان داد و آنها را متقاعد کرد که در اقدامات ناامن شرکت کنند.
همچنین در این حملات از ابزارهای سرقت اعتبار مانند Mimikatz و Raccoon Stealer برای افزایش دسترسی و همچنین اسکنرهای دیگر برای تسهیل کشف شبکه و در نهایت استخراج داده ها از Confluence، Jira، Git، Elastic، Microsoft 365 و سیستم عامل های پیام رسانی داخلی استفاده می شود.
واحد 42 این نظریه را مطرح کرد که سازندگان کیت فیشینگ 0ktapus همان قابلیتهای پیشرفتهای که Muddled Libra دارد را ندارند، و اضافه کرد که علیرغم همپوشانیهای صنایع تجاری، هیچ ارتباط قطعی بین بازیگر و UNC3944 وجود ندارد.
محققان گفتند: «در تقاطع مهندسی اجتماعی انحرافی و سازگاری با فناوری زیرک، Libra Muddled قرار دارد. آنها در طیف وسیعی از رشتههای امنیتی مهارت دارند، میتوانند در محیطهای نسبتاً ایمن پیشرفت کنند و به سرعت برای تکمیل زنجیرههای حمله ویرانگر اجرا شوند.»
با دانش نزدیک از فناوری اطلاعات سازمانی، این گروه تهدید خطر قابل توجهی را حتی برای سازمانهایی که دفاع سایبری قدیمی به خوبی توسعهیافته دارند، ایجاد میکند.
Palo Alto Networks Unit 42 در گزارشی فنی گفت: «سبک حمله تعریفکننده Muddled Libra در اواخر سال 2022 با انتشار کیت فیشینگ 0ktapus که یک چارچوب میزبانی از پیش ساخته شده و قالبهای همراه ارائه میداد، در رادار امنیت سایبری ظاهر شد.
Libra نامی است که توسط شرکت امنیت سایبری برای گروه های جرایم سایبری داده شده است. نام "درهم" برای بازیگر تهدید ناشی از ابهام غالب در مورد استفاده از چارچوب 0ktapus است.
0ktapus، همچنین به عنوان Scatter Swine شناخته می شود، به مجموعه نفوذی اطلاق می شود که برای اولین بار در آگوست 2022 در ارتباط با حملات کوبنده علیه بیش از 100 سازمان از جمله Twilio و Cloudflare آشکار شد.
سپس در اواخر سال 2022، CrowdStrike مجموعهای از حملات سایبری را که حداقل از ژوئن 2022 علیه شرکتهای مخابراتی و BPO با هدف ترکیبی از حملات فیشینگ اعتبار و تعویض سیمکارت انجام میشد، شرح داد. این خوشه با نامهای Roasted 0ktapus، Scattered Spider و UNC3944 ردیابی میشود.
کریستوفر روسو، محقق ارشد تهدید، به هکر نیوز گفت: «واحد 42 تصمیم گرفت که Libra Muddled را به دلیل منظره گیجکننده مرتبط با کیت فیشینگ 0ktapus انتخاب کند.
از آنجایی که این کیت در حال حاضر به طور گسترده در دسترس است، بسیاری از عوامل تهدید دیگر آن را به زرادخانه خود اضافه می کنند. استفاده از کیت فیشینگ 0ktapus به تنهایی لزوماً یک عامل تهدید را به عنوان چیزی طبقه بندی نمی کند که واحد 42 آن را Muddled Libra می نامد.
حملات گروه جنایات الکترونیکی با استفاده از کیت فیشینگ و فیشینگ 0ktapus برای ایجاد دسترسی اولیه آغاز می شود و معمولاً با سرقت داده ها و تداوم طولانی مدت پایان می یابد.
یکی دیگر از ویژگیهای منحصربهفرد استفاده از زیرساختهای آسیبدیده و دادههای سرقتشده در حملات پاییندستی به مشتریان قربانی، و حتی در برخی موارد، هدف قرار دادن بارها و بارها همان قربانیان برای پر کردن مجموعه دادههای آنها است.
واحد 42 که بیش از نیم دوجین حادثه Libra را بین ژوئن 2022 و اوایل سال 2023 مورد بررسی قرار داد، این گروه را بهعنوان سرسخت و «روشکار در تعقیب اهداف خود و بسیار انعطافپذیر در استراتژیهای حمله خود» توصیف کرد و به سرعت تاکتیکها را پس از مواجهه با موانع تغییر داد.
علاوه بر استفاده از طیف وسیعی از ابزارهای قانونی مدیریت از راه دور برای حفظ دسترسی مداوم، Muddled Libra به دستکاری راهحلهای امنیتی نقطه پایانی برای فرار دفاعی و سوء استفاده از تاکتیکهای خستگی اعلان احراز هویت چندعاملی (MFA) برای سرقت اعتبار میپردازد.
عامل تهدید همچنین در حال جمعآوری لیستهای کارمندان، نقشهای شغلی و شماره تلفنهای همراه برای انجام حملات انفجاری و سریع بمبگذاری مشاهده شده است. اگر این رویکرد شکست بخورد، بازیگران Muddled Libra با میز کمک سازمان تماس می گیرند که به عنوان قربانی ظاهر می شوند تا یک دستگاه جدید MFA را تحت کنترل خود ثبت نام کنند.
محققان گفتند: «موفقیت مهندسی اجتماعی Muddled Libra قابل توجه است. در بسیاری از پروندههای ما، این گروه درجه بالایی از راحتی را در ارتباط با میز کمک و سایر کارمندان از طریق تلفن نشان داد و آنها را متقاعد کرد که در اقدامات ناامن شرکت کنند.
همچنین در این حملات از ابزارهای سرقت اعتبار مانند Mimikatz و Raccoon Stealer برای افزایش دسترسی و همچنین اسکنرهای دیگر برای تسهیل کشف شبکه و در نهایت استخراج داده ها از Confluence، Jira، Git، Elastic، Microsoft 365 و سیستم عامل های پیام رسانی داخلی استفاده می شود.
واحد 42 این نظریه را مطرح کرد که سازندگان کیت فیشینگ 0ktapus همان قابلیتهای پیشرفتهای که Muddled Libra دارد را ندارند، و اضافه کرد که علیرغم همپوشانیهای صنایع تجاری، هیچ ارتباط قطعی بین بازیگر و UNC3944 وجود ندارد.
محققان گفتند: «در تقاطع مهندسی اجتماعی انحرافی و سازگاری با فناوری زیرک، Libra Muddled قرار دارد. آنها در طیف وسیعی از رشتههای امنیتی مهارت دارند، میتوانند در محیطهای نسبتاً ایمن پیشرفت کنند و به سرعت برای تکمیل زنجیرههای حمله ویرانگر اجرا شوند.»
با دانش نزدیک از فناوری اطلاعات سازمانی، این گروه تهدید خطر قابل توجهی را حتی برای سازمانهایی که دفاع سایبری قدیمی به خوبی توسعهیافته دارند، ایجاد میکند.