- 9,565
- 18
- 8 Ноя 2022
Группа Muddled Libra обладает глубокими знаниями корпоративных IT-технологий и использует их для проведения сложных атак на компании из разных отраслей.
Группировка Muddled Libra нацелена на индустрию аутсорсинга бизнес-процессов (BPO) для получения начального доступа с социальной инженерии
Атаки Muddled Libra впервые были обнаружены в конце 2022 года с выпуском фишингового набора 0ktapus, который предлагал предварительно созданную структуру хостинга и шаблоны для фишинга .
Атаки группы Muddled Libra начинаются с использования Для просмотра ссылки Войдиили Зарегистрируйся для установления начального доступа и обычно заканчиваются кражей данных и долгосрочным сохранением в системе жертвы. 0ktapus (Scatter Swine) относится к набору фишинга, который впервые был обнаружен в августе 2022 года в связи с Для просмотра ссылки Войди или Зарегистрируйся , включая Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .
Еще одним уникальным признаком является использование скомпрометированной инфраструктуры и украденных данных в последующих атаках на клиентов жертвы, а в некоторых случаях даже повторное нацеливание на одних и тех же жертв для пополнения их набора данных.
Специалисты Unit 42 Для просмотра ссылки Войдиили Зарегистрируйся 6 инцидентов с Muddled Libra в период с июня 2022 года по начало 2023 года и выяснили, что помимо использования легитимных инструментов удаленного управления для поддержания постоянного доступа, Muddled Libra манипулирует решениями безопасности конечных точек для уклонения от защиты, а также злоупотребляет тактикой MFA Fatigue для кражи учетных данных.
Также было замечено, что злоумышленник собирает списки сотрудников, должностные обязанности и номера мобильных телефонов, чтобы осуществить атаку. Если такой подход терпит неудачу, участники Muddled Libra обращаются в службу поддержки организации, изображая из себя жертву, чтобы зарегистрировать новое устройство с MFA, находящееся под их контролем.
В атаках также используются инструменты для кражи учетных данных, такие как Mimikatz и Raccoon Stealer, для повышения доступа, а также другие сканеры для облегчения обнаружения сети и, в конечном итоге, для извлечения данных из Confluence, Jira, Git, Elastic, Microsoft 365 и внутренних платформ обмена сообщениями.
Благодаря глубокому знанию корпоративных информационных технологий эта группа угроз представляет значительный риск даже для организаций с хорошо развитой, но устаревшей киберзащитой.
Группировка Muddled Libra нацелена на индустрию аутсорсинга бизнес-процессов (BPO) для получения начального доступа с социальной инженерии
Атаки Muddled Libra впервые были обнаружены в конце 2022 года с выпуском фишингового набора 0ktapus, который предлагал предварительно созданную структуру хостинга и шаблоны для фишинга .
Атаки группы Muddled Libra начинаются с использования Для просмотра ссылки Войди
Еще одним уникальным признаком является использование скомпрометированной инфраструктуры и украденных данных в последующих атаках на клиентов жертвы, а в некоторых случаях даже повторное нацеливание на одних и тех же жертв для пополнения их набора данных.
Специалисты Unit 42 Для просмотра ссылки Войди
Также было замечено, что злоумышленник собирает списки сотрудников, должностные обязанности и номера мобильных телефонов, чтобы осуществить атаку. Если такой подход терпит неудачу, участники Muddled Libra обращаются в службу поддержки организации, изображая из себя жертву, чтобы зарегистрировать новое устройство с MFA, находящееся под их контролем.
В атаках также используются инструменты для кражи учетных данных, такие как Mimikatz и Raccoon Stealer, для повышения доступа, а также другие сканеры для облегчения обнаружения сети и, в конечном итоге, для извлечения данных из Confluence, Jira, Git, Elastic, Microsoft 365 и внутренних платформ обмена сообщениями.
Благодаря глубокому знанию корпоративных информационных технологий эта группа угроз представляет значительный риск даже для организаций с хорошо развитой, но устаревшей киберзащитой.
- Источник новости
- www.securitylab.ru
