与“Scattered Spider”战术有关的黑客在攻击保险和零售行业之后,将目标扩大到航空和运输行业。这些威胁者采用了逐个行业进行攻击的方法,最初针对英国和美国的零售公司,如M&S和Co-op,随后将重点转移到保险公司。
虽然这些威胁者一开始并没有被正式指定为对保险行业的攻击负责,但最近的事件已经影响了Aflac、Erie保险公司和费城保险公司。
黑客攻击航空业
6月12日,加拿大第二大航空公司WestJet遭遇网络攻击,导致公司内部服务和移动应用程序短暂中断。泄露事件发生后不久,Palo Alto Networks和微软正在协助应对这次攻击。
这次攻击被归咎于Scattered Spider组织,据称它破坏了该公司的数据中心和微软云环境。
威胁者通过为一名员工执行自助密码重置来获得访问权限,这使他们能够注册自己的MFA,并通过Citrix远程访问网络。
当其他威胁者进行身份攻击时,由于他们经常以帮助台、密码和MFA基础设施为目标,Scattered Spider已经与这种策略联系在一起。
目前,夏威夷航空公司也披露,他们遭受了网络攻击,但没有提供任何细节可以表明谁是攻击的幕后黑手。随后据多方了解,Scattered Spider应该对此负责。
Palo Alto Networks负责咨询和威胁情报的高级副总裁证实,Scattered Spider已经开始瞄准航空业。
Mandiant的Charles Carmakal还警告说,威胁者现在已经将注意力转移到航空和运输领域。据悉,Scattered Spider已将北美航空公司和运输公司加入了他们的目标名单。
Mandiant建议业界立即采取措施,在向员工/承包商帐户添加新的电话号码(威胁者可以使用它来执行自助密码重置),重置密码,向MFA解决方案添加设备或提供可用于后续社会工程攻击的员工信息(例如员工id)之前,加强其帮助台身份验证流程。
美国航空公司目前也遭遇了IT故障,但尚不清楚这是否是安全事故。有媒体联系了航空公司,但没有收到回复。
什么是Scattered Spider
Scattered Spider,也被称为0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest和Muddled Libra,是一种威胁者的分类,擅长使用社会工程攻击、网络钓鱼、多因素认证(MFA)轰炸(目标MFA疲劳)和SIM交换来获得大型组织的初始网络访问权限。
这些威胁者拥有不同的技能,经常光顾同一个黑客论坛、Telegram频道和Discord服务器。然后使用这些媒介来实时计划和执行攻击。
其中一些人被认为是“Com”的一部分——一个以金融欺诈、加密货币盗窃、数据泄露和勒索攻击而闻名的松散威胁行为者社区。
虽然Scattered Spider通常被认为是一个有凝聚力的团伙,但它实际上是用来表示在进行攻击时使用特定策略的威胁组织。由于与Scattered Spider战术相关的攻击也经常被来自松散威胁者网络的不同个体使用,因此很难跟踪它们。
与许多其他威胁组织不同,与Scattered Spider有关的组织与讲俄语的勒索软件团伙合作,如黑猫、RansomHub和DragonForce。
其他与Scattered Spider有关的攻击包括米高梅、玛莎百货、Co-op、Twilio、Coinbase、DoorDash、Caesars、MailChimp、Riot Games和Reddit。
组织防御这种类型的威胁者应该从获得整个基础设施、身份系统和关键管理服务的完全可见性开始。这包括保护自助密码重置平台和帮助台,这是这些威胁者的常见目标。
谷歌威胁情报集团(GTIG)和Palo Alto Networks都发布了针对这些威胁者使用的已知Scattered Spider策略的强化防御指南。建议所有管理员熟悉这些技巧,并加强他们的身份平台和流程。
安全研究人员发现,有黑客一直在使用一种名为NimDoor的新macOS恶意软件系列,以web3和加密货币组织为目标。分析有效载荷的研究人员发现,攻击者依赖于不寻常的技术和以前未见过的基于信号的持久性机制。
该攻击链包括通过Telegram联系受害者,引诱他们运行假的Zoom SDK更新,通过Calendly和电子邮件发送,类似于最近与BlueNoroff关联的一个由Huntress管理的安全平台。
高级macOS恶意软件
网络安全公司SentinelOne的研究人员表示,黑客在macOS上使用c++和NimDoor编译的二进制文件(统称为NimDoor),这“是一种更不寻常的选择”。
其中一个由nimm编译的二进制文件,‘installer’,负责初始设置和分级,准备目录和配置路径。它还会将另外两个二进制文件“GoogIe LLC”和“CoreKitAgent”放入受害者的系统中。
GoogIe LLC接管收集环境数据并生成十六进制编码的配置文件,将其写入临时路径。它为持久性设置了macOS LaunchAgent (com.google.update.plist),它在登录时重新启动GoogIe LLC,并为以后的阶段存储身份验证密钥。
攻击中使用的最先进的组件是CoreKitAgent,这是NimDoor框架的主要有效载荷,它作为事件驱动的二进制文件运行,使用macOS的kqueue机制来异步管理执行。
它实现了一个带有硬编码状态转换表的10例状态机,允许基于运行时条件的灵活控制流。最显著的特性是它基于信号的持久性机制,它为SIGINT和SIGTERM安装自定义处理程序。
为SIGINT和SIGTERM注册自定义信号处理程序
这些信号通常用于终止进程,但是当其中任何一个被捕获时,CoreKitAgent会触发一个重新安装例程,重新部署GoogIe LLC,恢复持久链。
当触发时,CoreKitAgent捕获这些信号并写入LaunchAgent用于持久化,GoogIe LLC的副本作为加载器,以及自身的副本作为木马,通过addExecutionPermissions_user95startup95mainZutils_u32函数设置后两者的可执行权限。这种行为确保了任何用户发起的恶意软件终止都会导致核心组件的部署,使代码能够抵御基本的防御行动。
当进程终止时将恶意软件组件写回磁盘
CoreKitAgent解码并运行十六进制编码的AppleScript,该AppleScript每30秒向攻击者基础设施发出信标,泄露系统数据,并通过osascript执行远程命令,提供轻量级后门。
与NimDoor执行并行,zoom_sdk_support.scpt触发涉及trojan1_arm64的第二个注入链,它启动基于wss的C2通信并下载两个脚本(upl和tlgrm),以促进数据盗窃。
在“zoom_sdk_support. conf”的情况下,在Scpt的加载器中,研究人员注意到它包含超过10000行用于混淆目的的空白行。
Upl从web浏览器中提取数据,抓取Keychain,.bash_history和.zsh_history,并使用curl将其泄露到dataupload[.]store。Tlgrm专注于窃取Telegram数据库和. tempkeyencrypted,很可能使用它们来解密目标在平台上交换的消息。
针对Telegram数据的tlgrm脚本
总的来说,NimDoor框架和SentinelLABS分析的其他后门是与朝鲜威胁者有关的最复杂的macOS恶意软件家族。
该恶意软件的模块化使其具有灵活性,并且使用了新的技术,如基于信号的持久性,这表明朝鲜网安人员正在发展他们的工具包以扩展其跨平台能力。