Um novo grupo de ameaças com motivação financeira denominado “LUCR-3”foi descoberto visando organizações que roubam propriedade intelectual para extorsão. Este ator de ameaça supera Scatter Spider, Oktapus, UNC3944 e Storm-0875.
LUCR-3 tem como alvo empresas da Fortune 2000 em vários setores, que incluem Software, Varejo, Hotelaria, Manufatura e Telecomunicações. O ator da ameaça usa identidades existentes para acesso inicial, em vez de depender de malware.
Documento
Atributos do LUCR-3
Como parte do acesso inicial, o ator da ameaça realiza o reconhecimento das identidades das vítimas para escolher o usuário que terá o acesso necessário para sua exploração.
Mais frequentemente, eles dependem de engenharia social, quebrando ou comprando as credenciais que estão disponíveis no mercado deep web. A maioria de suas vítimas foram identificadas como administradores, desenvolvedores, engenheiros e equipe de segurança.
As credenciais que eles usam são legítimas para conexão com a rede e os aplicativos de destino. Com essas credenciais, eles executam o desvio de MFA usando várias técnicas, como troca de SIM, Push Fatigue, ataques de phishing ou compra de acesso de engenheiro social por meio de ameaças internas. Eles também modificam as configurações de MFA registrando um novo dispositivo ou adicionando opções alternativas de MFA.
R-SaaS e R-AWS (Recon SaaS e Recon AWS)
Além disso, esse ator de ameaça tem uma maneira única de entender as organizações, seguindo um método regular de funcionários – visualizando e pesquisando os documentos disponíveis no SharePoint, OneDrive, aplicativos de conhecimento, soluções de tickets e aplicativos de bate-papo que fornecem conhecimento aprofundado sobre a organização vítima . Este método é realizado no caso de aplicações SaaS.
No caso da AWS, eles aproveitam o console de faturamento e gerenciamento da AWS para compreender a infraestrutura em nuvem.
Eles também usam o Systems Manager (SSM) para executar AWS-GatherSoftwareInventoryque fornecerá informações completas sobre todas as instâncias EC2 e o software em execução nelas.
Persistência em todos os ambientes
Para obter acesso persistente aos sistemas comprometidos, o agente da ameaça depende de ferramentas anteriormente disponíveis, como registro de dispositivos, MFA alternativo e tipo de autenticação forte (de 6 [PhoneAppOTP] para 7 [OneWaySMS]).
No caso da AWS, o agente da ameaça cria um perfil de usuário, acesso e login (ou atualiza um perfil de login). A relatório completo sobre esse ator de ameaça foi publicado pela Permisio, que fornece informações detalhadas sobre a infiltração, extração e outros detalhes.
Como parte da evasão da Defesa, LUCR-3 usa a desativação do GuardDuty, interrompendo o registro e o acesso ao console serial. Em certos casos, eles também enviam e-mails relacionados a tickets de helpdesk, criação de chaves de autenticação, tokens de acesso e OAuth.
Indicadores de compromisso
| Nome | Tipo |
| P0_AWS_ACCESSKEY_CREATED_1 | Alerta |
| P0_AWS_CLOUDTRAIL_LOGGING_STOPPED_1 | Alerta |
| P0_AWS_CLOUDTRAIL_TRAIL_DELETED_1 | Alerta |
| P0_AWS_EC2_ROOT_USER_SSH_1 | Alerta |
| P0_AWS_EC2_SERIAL_CONSOLE_ACCESS_ENABLED_1 | Alerta |
| P0_AWS_GUARDDUTY_STATUS_CHANGED_1 | Alerta |
| P0_AWS_NEW_USER_CREATED_1 | Alerta |
| P0_AWS_S3_BROWSER_USERAGENT_1 | Alerta |
| P0_AWS_SM_GETSECRETVALUE_CLOUDSHELL_1 | Alerta |
| P0_AZUREAD_MFA_FACTOR_ROTATION_1 | Alerta |
| P0_AZUREAD_MFA_FACTOR_ROTATION_BY_ADMIN_1 | Alerta |
| P0_GIT_CLONE_ALL | Alerta |
| P0_IDP_MFA_DEVICE_DOWNGRADE | Alerta |
| P0_IDP_MFA_ECOSYSTEM_SWITCH | Alerta |
| P0_IDP_MFA_EXTERNAL_EMAIL | Alerta |
| P0_IDP_MFA_MANYUSERS_1DEVICE | Alerta |
| P0_INTEL_LUCR3 | Alerta |
| P0_OKTA_MFA_FACTOR_ROTATION_1 | Alerta |
| P0_OKTA_MFA_FACTOR_ROTATION_BY_ADMIN_1 | Alerta |
| P0_SAAS_CREDENTIAL_SEARCH | Alerta |
Fonte: Permísio
Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no notícias do Google, Linkedin, Twittere Facebook.
