Az UNC3944 a SaaS platformokat használja adatlopásra és zsarolásra

Az UNC3944, egy pénzügyi motivációjú fenyegető csoport, amely olyan szervezetekhez kötődik, mint a “0ktapus” és a “Scattered Spider”, a taktikáját a SaaS-alkalmazások célpontjaira igazította, kihasználva a felhőalapú tárolási és virtualizációs platformokat. A legalább 2022 májusa óta aktív UNC3944 kezdetben a hitelesítő adatok begyűjtésére és a SIM-kártyák cseréjére összpontosított, de azóta áttért az adatlopási zsarolásra, kihasználva az underground közösségeket az eszközök és a támogatás érdekében. Fejlődő taktikáik közé tartozik a vállalati help deskek social engineeringje a privilegizált fiókokhoz való hozzáférés megszerzéséhez, az MFA-védelmek megkerülése és az SMS adathalász kampányok használata.

Az UNC3944 támadásai olyan kifinomult módszereket tartalmaznak, mint például az Okta engedélyekkel való visszaélés a jogosultságok kiterjesztéséhez és új virtuális gépek létrehozásához a vSphere és az Azure rendszerben a tartós hozzáférés érdekében. Olyan SaaS-alkalmazásokat használnak ki, mint a SharePoint, a Salesforce és a CyberArk, belső felderítést és adatszivárgást végeznek felhőszinkronizációs eszközökkel. Az antiforenzikus intézkedések ellenére elsődleges céljuk továbbra is a kritikus adatok felfedezése és kiszivárogtatása. A csoport azon képessége, hogy alkalmazkodni és felhasználni tudja mind a hagyományos, mind a modern kibertaktikákat, jelentős fenyegetést jelent a célszervezetekre.

(forrás)