Notícias de dispositivos móveis, gadgets, aplicativos Android

LUCR-3 Atacar empresas da Fortune 2000 usando ferramentas e ferramentas próprias das vítimas Aplicativos

Um novo grupo de amea√ßas com motiva√ß√£o financeira denominado ‚ÄúLUCR-3‚ÄĚfoi descoberto visando organiza√ß√Ķes que roubam propriedade intelectual para extors√£o. Este ator de amea√ßa supera Scatter Spider, Oktapus, UNC3944 e Storm-0875.

LUCR-3 tem como alvo empresas da Fortune 2000 em v√°rios setores, que incluem Software, Varejo, Hotelaria, Manufatura e Telecomunica√ß√Ķes. O ator da amea√ßa usa identidades existentes para acesso inicial, em vez de depender de malware.

Documento

Atributos do LUCR-3

Como parte do acesso inicial, o ator da ameaça realiza o reconhecimento das identidades das vítimas para escolher o usuário que terá o acesso necessário para sua exploração.

Mais frequentemente, eles dependem de engenharia social, quebrando ou comprando as credenciais que estão disponíveis no mercado deep web. A maioria de suas vítimas foram identificadas como administradores, desenvolvedores, engenheiros e equipe de segurança.

As credenciais que eles usam s√£o leg√≠timas para conex√£o com a rede e os aplicativos de destino. Com essas credenciais, eles executam o desvio de MFA usando v√°rias t√©cnicas, como troca de SIM, Push Fatigue, ataques de phishing ou compra de acesso de engenheiro social por meio de amea√ßas internas. Eles tamb√©m modificam as configura√ß√Ķes de MFA registrando um novo dispositivo ou adicionando op√ß√Ķes alternativas de MFA.

R-SaaS e R-AWS (Recon SaaS e Recon AWS)

Al√©m disso, esse ator de amea√ßa tem uma maneira √ļnica de entender as organiza√ß√Ķes, seguindo um m√©todo regular de funcion√°rios ‚Äď visualizando e pesquisando os documentos dispon√≠veis no SharePoint, OneDrive, aplicativos de conhecimento, solu√ß√Ķes de tickets e aplicativos de bate-papo que fornecem conhecimento aprofundado sobre a organiza√ß√£o v√≠tima . Este m√©todo √© realizado no caso de aplica√ß√Ķes SaaS.

No caso da AWS, eles aproveitam o console de faturamento e gerenciamento da AWS para compreender a infraestrutura em nuvem.

N√≥s recomendamos:  10 ferramentas de wireframe para planejamento de UX e UI em 2023

Eles tamb√©m usam o Systems Manager (SSM) para executar AWS-GatherSoftwareInventoryque fornecer√° informa√ß√Ķes completas sobre todas as inst√Ęncias EC2 e o software em execu√ß√£o nelas.

Persistência em todos os ambientes

Para obter acesso persistente aos sistemas comprometidos, o agente da ameaça depende de ferramentas anteriormente disponíveis, como registro de dispositivos, MFA alternativo e tipo de autenticação forte (de 6 [PhoneAppOTP] para 7 [OneWaySMS]).

No caso da AWS, o agente da amea√ßa cria um perfil de usu√°rio, acesso e login (ou atualiza um perfil de login). A relat√≥rio completo sobre esse ator de amea√ßa foi publicado pela Permisio, que fornece informa√ß√Ķes detalhadas sobre a infiltra√ß√£o, extra√ß√£o e outros detalhes.

Como parte da evasão da Defesa, LUCR-3 usa a desativação do GuardDuty, interrompendo o registro e o acesso ao console serial. Em certos casos, eles também enviam e-mails relacionados a tickets de helpdesk, criação de chaves de autenticação, tokens de acesso e OAuth.

Indicadores de compromisso

Nome Tipo
P0_AWS_ACCESSKEY_CREATED_1 Alerta
P0_AWS_CLOUDTRAIL_LOGGING_STOPPED_1 Alerta
P0_AWS_CLOUDTRAIL_TRAIL_DELETED_1 Alerta
P0_AWS_EC2_ROOT_USER_SSH_1 Alerta
P0_AWS_EC2_SERIAL_CONSOLE_ACCESS_ENABLED_1 Alerta
P0_AWS_GUARDDUTY_STATUS_CHANGED_1 Alerta
P0_AWS_NEW_USER_CREATED_1 Alerta
P0_AWS_S3_BROWSER_USERAGENT_1 Alerta
P0_AWS_SM_GETSECRETVALUE_CLOUDSHELL_1 Alerta
P0_AZUREAD_MFA_FACTOR_ROTATION_1 Alerta
P0_AZUREAD_MFA_FACTOR_ROTATION_BY_ADMIN_1 Alerta
P0_GIT_CLONE_ALL Alerta
P0_IDP_MFA_DEVICE_DOWNGRADE Alerta
P0_IDP_MFA_ECOSYSTEM_SWITCH Alerta
P0_IDP_MFA_EXTERNAL_EMAIL Alerta
P0_IDP_MFA_MANYUSERS_1DEVICE Alerta
P0_INTEL_LUCR3 Alerta
P0_OKTA_MFA_FACTOR_ROTATION_1 Alerta
P0_OKTA_MFA_FACTOR_ROTATION_BY_ADMIN_1 Alerta
P0_SAAS_CREDENTIAL_SEARCH Alerta

Fonte: Permísio

Mantenha-se informado sobre as √ļltimas not√≠cias sobre seguran√ßa cibern√©tica seguindo-nos no not√≠cias do Google, Linkedin, Twittere Facebook.