保贝狗是一款个人信息保护产品。
Mandiant透露,被称为UNC3944的出于经济动机的威胁行为者正在转向勒索软件部署,作为其货币化战略扩展的一部分。
“UNC3944已经表现出更加关注窃取大量敏感数据以进行勒索,他们似乎了解西方的商业行为,可能是由于该组织的地理构成,”威胁情报公司表示。
“UNC3944还一直依赖公开可用的工具和合法软件,以及可在地下论坛上购买的恶意软件。
该组织也被称为 0ktapus、Scatter Swine 和 Scattered Spider,自 2022 年初以来一直活跃,采用基于电话的社会工程和基于 SMS 的网络钓鱼,使用虚假登录页面获取员工的有效凭据并渗透到受害组织,反映了另一个名为 LAPSUS$ 的组织采用的策略。
虽然该集团最初专注于电信和业务流程外包(BPO)公司,但后来将其目标扩大到包括酒店,零售,媒体和娱乐以及金融服务,这表明威胁日益严重。
威胁参与者的一个关键标志是,众所周知,他们会利用受害者的凭据在呼叫组织的服务台时冒充员工,以尝试获取多重身份验证 (MFA) 代码和/或密码重置。
值得注意的是,本月早些时候,Okta警告客户同样的攻击,电子犯罪团伙打电话给受害者的IT服务台,诱骗支持人员重置具有高权限的员工的MFA代码,允许他们访问这些有价值的帐户。
在一个实例中,据说一名员工通过伪造的软件下载安装了 RECORDSTEALER 恶意软件,随后助长了凭据盗窃。使用网络钓鱼工具包(如EIGHTBAIT等)设计的流氓登录页面能够将捕获的凭据发送到参与者控制的Telegram通道并部署AnyDesk。
还观察到攻击者使用各种信息窃取工具(例如,Atomic,ULTRAKNOT或Meduza和Vidar)abd凭据盗窃工具(例如,MicroBurst)来获得实现其目标和增强其操作所需的特权访问权限。
UNC3944的部分活动包括使用商业住宅代理服务访问受害者以逃避检测和合法的远程访问软件,以及进行广泛的目录和网络侦察以帮助提升特权并保持持久性。
同样值得注意的是,它滥用受害组织的云资源来托管恶意实用程序,以禁用防火墙和安全软件并将其交付到其他端点,这突显了黑客组织不断发展的贸易技巧。
最新调查结果发布之际,该组织已成为BlackCat(又名ALPHV或Noberus)勒索软件团队的附属公司,利用其新发现的地位破坏米高梅度假村并分发文件加密恶意软件。
“威胁行为者以极高的操作节奏运作,在几天内访问关键系统并泄露大量数据,”Mandiant指出。
“在部署勒索软件时,威胁行为者似乎专门针对业务关键型虚拟机和其他系统,可能是为了最大限度地发挥对受害者的影响。
