ShinyHunters hozzáférésszerzés
A Google Cloud jelentése a ShinyHunters-hez köthető fenyegetéskör aktív terjeszkedését és technikai módszereit elemzi, különös tekintettel arra, hogyan használják ki a szervezetek SaaS-alkalmazásait és identitás-szolgáltatóit adatlopás és zsarolás céljából. A Google Mandiant szerint a támadások nem technikai hibák vagy sebezhetőségek következményei, hanem nagyon kifinomult pszichológiai megtévesztés és vishing taktikákra épülnek, amelyek célja az egyszeri bejelentkezési és többtényezős hitelesítési adatok megszerzése a felhasználóktól.
Az aktorok, amelyeket a ShinyHunters-hoz köthetőnek hamis IT-támogatói hívásokat kezdeményeznek, és áldozat-specifikus, megtévesztésre létrehozott belső portálokra irányítják a célpontokat, ahol azok beírják felhasználónevüket, jelszavukat és MFA kódjukat. A megszerzett hitelesítő adatokat aztán arra használják, hogy hozzáférjenek felhőalapú SaaS alkalmazásokhoz, és onnan érzékeny dokumentumokat, belső kommunikációkat és személyes adatokat emeljenek ki.
A tevékenységek az emberi tényező rosszindulatú kihasználásán, ezért a védelmi stratégiának nemcsak a hagyományos IT-biztonsági kontrollokra kell támaszkodnia. A phishing-rezisztens MFA módszerek sokkal hatékonyabbak lehetnek az ilyen támadások meghiúsításában, mint a push-értesítéses vagy SMS-alapú MFA megoldások, amelyek a pszichológiai megtévesztéses támadásokkal könnyen manipulálhatók.
A Goggle több UNC-jelzésű fenyegetés-csoport (pl. UNC6661, UNC6671 és UNC6240) azonosított, amelyek mind hasonló TTP-ket alkalmaznak. Az UNC6661 például a vishing és az adathalász oldalakon keresztüli hitelesítő adatlopást végzi, míg egyes UNC6240 tevékenységek azt követik, hogy a megszerzett adatokkal zsaroló üzeneteket küldenek az áldozatoknak, bizonyos esetekben bizonyítékként adattöredékeket is közzétesznek a LimeWire-on.
