Muddled Libra
A Palo Alto Networks Unit 42 jelentés szerint a Muddled Libra (Scattered Spider, Scatter Swine, UNC3944) egy kifinomult és alkalmazkodóképes kiberbűnözői csoport, amely 2022 közepe óta aktív. Kezdetben a 0ktapus adathalász kitet használták, amely lehetővé tette számukra, hogy több mint 100 szervezet hitelesítő adatait és többfaktoros hitelesítési (MFA) kódjait szerezzék meg. Azóta tevékenységük kiterjedt a szoftverautomatizálás, üzleti folyamatok kiszervezése (BPO), távközlés, vendéglátás és pénzügyi szektorokra is.
A Muddled Libra elsődleges támadási módszere a pszichológiai megtévesztés, különösen az IT helpdeskek célba vétele. OSINT és korábban megszerzett adatokat használnak arra, hogy rávegyék a helpdesk munkatársakat jelszavak és MFA beállítások visszaállítására. Ezek a támadások meggyőzőek és kitartóak, gyakran hosszú hívásokkal próbálják kimeríteni az ügynökök védekezőképességét.
A csoport számos eszközt alkalmaz a támadások során, beleértve a Zoho Assist, AnyDesk, Splashtop, TeamViewer, ITarian, FleetDeck, ASG Remote Desktop, RustDesk és ManageEngine RMM távoli hozzáférési eszközöket. Ezeket gyakran legitim üzleti alkalmazásokként használják, ami megnehezíti a felismerésüket. Emellett a Muddled Libra ismeri a felhőalapú platformokat, mint az AWS és a Microsoft 365, és ezeket is kihasználja a támadások során.
A védekezés elkerülése érdekében a csoport képes letiltani antivírusokat, tűzfalakat, EDR és más megfigyelő eszközöket, valamint saját virtuális gépeket állít fel a célkörnyezetben. Az adatgyűjtés során olyan eszközöket használnak, mint a Snaffler, és kulcsszavak alapján keresnek érzékeny információkat a rendszerekben. Az összegyűjtött adatokat gyakran WinRAR vagy PeaZip segítségével archiválják és exfiltrálják.
A Muddled Libra tevékenysége az idő előrehaladtával egyre rombolóbbá vált, beleértve az üzemeltetés megszakítását, érzékeny rendszerek károsítását, kritikus adatok titkosítását és jelentős zsarolási követeléseket. A csoport tagjai valószínűleg angol anyanyelvűek, ami előnyt jelent számukra az angol nyelvű célpontokkal szembeni szociális manipuláció során. Megfigyelések szerint mesterséges intelligenciát is használnak az áldozatok hangjának utánzására, ami tovább növeli a támadásaik hatékonyságát.
