Новости Muddled Libra: новая угроза для индустрии бизнес-аутсорсинга

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Группа Muddled Libra обладает глубокими знаниями корпоративных IT-технологий и использует их для проведения сложных атак на компании из разных отраслей.


i701ch5fa2749m10swij37ezrcz75kz8.jpg


Группировка Muddled Libra нацелена на индустрию аутсорсинга бизнес-процессов (BPO) для получения начального доступа с социальной инженерии

Атаки Muddled Libra впервые были обнаружены в конце 2022 года с выпуском фишингового набора 0ktapus, который предлагал предварительно созданную структуру хостинга и шаблоны для фишинга .

Атаки группы Muddled Libra начинаются с использования Для просмотра ссылки Войди или Зарегистрируйся для установления начального доступа и обычно заканчиваются кражей данных и долгосрочным сохранением в системе жертвы. 0ktapus (Scatter Swine) относится к набору фишинга, который впервые был обнаружен в августе 2022 года в связи с Для просмотра ссылки Войди или Зарегистрируйся , включая Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .

Еще одним уникальным признаком является использование скомпрометированной инфраструктуры и украденных данных в последующих атаках на клиентов жертвы, а в некоторых случаях даже повторное нацеливание на одних и тех же жертв для пополнения их набора данных.

Специалисты Unit 42 Для просмотра ссылки Войди или Зарегистрируйся 6 инцидентов с Muddled Libra в период с июня 2022 года по начало 2023 года и выяснили, что помимо использования легитимных инструментов удаленного управления для поддержания постоянного доступа, Muddled Libra манипулирует решениями безопасности конечных точек для уклонения от защиты, а также злоупотребляет тактикой MFA Fatigue для кражи учетных данных.

Также было замечено, что злоумышленник собирает списки сотрудников, должностные обязанности и номера мобильных телефонов, чтобы осуществить атаку. Если такой подход терпит неудачу, участники Muddled Libra обращаются в службу поддержки организации, изображая из себя жертву, чтобы зарегистрировать новое устройство с MFA, находящееся под их контролем.

В атаках также используются инструменты для кражи учетных данных, такие как Mimikatz и Raccoon Stealer, для повышения доступа, а также другие сканеры для облегчения обнаружения сети и, в конечном итоге, для извлечения данных из Confluence, Jira, Git, Elastic, Microsoft 365 и внутренних платформ обмена сообщениями.

Благодаря глубокому знанию корпоративных информационных технологий эта группа угроз представляет значительный риск даже для организаций с хорошо развитой, но устаревшей киберзащитой.
 
Источник новости
www.securitylab.ru

Похожие темы