一个被称为“Muddled Libra”的威胁行为者,以业务流程外包(BPO)行业为目标,通过不断的攻击,利用先进的社会工程策略获得最初的访问权。
帕洛阿尔托网络单元42(Palo Alto Networks Unit 42)在一份技术报告中表示:“2022年末,网络安全雷达上出现了定义混淆天秤座的攻击风格,推出了0 KTAPUS网络钓鱼工具包,它提供了一个预先构建好的托管框架,并捆绑了模板。”
Muddled Libra是由网络安全公司为网络犯罪集团指定的。威胁行为者的“模糊”绰号源于在使用0KTAPUS框架方面普遍存在的模糊性。
OKTAPUS,也被称为“散射猪”,指的是2022年8月首次曝光的一套入侵事件,它与对包括Twilio和Cloudflare在内的100多个组织的攻击有关。
然后在2022年末,CrowdStrike详细介绍了一系列针对电信和BPO公司的网络攻击,这些攻击至少自2022年6月以来一直是针对电信和BPO公司的,其手段是将证书钓鱼和SIM交换攻击结合起来。这个机群正在被追踪,名字是烤的0 KTAPUS,分散的蜘蛛,和CD 3944。
“42单元决定命名Muddled Libra,因为混乱景观相关的0KTAPUS网络钓鱼工具包,”高级威胁研究员克里斯托波尔拉索告诉黑客新闻。
“由于这套装备现在已经被广泛使用,许多其他的威胁玩家也在把它添加到他们的军火库中。仅使用0 KTAPUS网络钓鱼工具包并不一定会将威胁演员归类为单元42所称的Muddled Libra。”
这个电子犯罪集团的攻击开始于利用欺骗和0 ktacus网络钓鱼工具包来建立初始访问权限,通常以数据窃取和长期持久性结束。
另一个独特的特点是在对受害者客户的下游攻击中使用受损的基础设施和被盗数据,在某些情况下,甚至一次又一次地针对同一受害者,以补充他们的数据集。
在2022年6月至2023年初期间,42单元调查了超过6起Muddled Libra事件。该小组称,Muddled Libra在追求目标方面是固执和“有条不紊的,攻击策略非常灵活”,一旦遇到路障,就会迅速改变战术。
除了支持各种合法的远程管理工具来维护持久访问之外,Muddled Libra还会篡改端点安全解决方案,用于防御、规避和滥用多因素身份验证(MFA)通知疲劳策略来窃取凭据。
据观察,这位威胁演员还在收集员工名单、工作角色和手机号码,以应对偷袭和爆炸袭击。如果这一方法失败,Muddled Libra则会联系该组织的服务台,假装受害者登记一个新的MFA设备在他们的控制之下。
研究人员说:“Muddled Libra在社会工程方面的成功是值得注意的。”“在我们的许多案例中,该小组表现出了不同寻常的高度舒适感,通过电话与服务台和其他员工互动,说服他们采取不安全的行动。”
攻击中还使用了窃取凭证的工具,如MimiKatz和浣熊Stealer,以提高访问能力,以及其他扫描器,以便利网络发现,并最终从Confluence、Jira、Git、Elastic、Microsoft 365和内部消息平台中提取数据。
第42单元的理论是,0ktacus网络钓鱼套件的制造商没有Muddled Libra所拥有的那样先进的能力,并补充说,演员和CD 3944之间并没有明确的联系,尽管手工艺重叠。
研究人员说:“在狡猾的社会工程和灵活的技术适应的交汇处,天秤座陷入了混乱。”他们精通各种安全规则,能够在相对安全的环境中茁壮成长,并能迅速执行以完成破坏性攻击链。“
“凭借对企业信息技术的深入了解,这一威胁集团甚至会给那些拥有发达传统网络防御系统的组织带来重大风险。”