El grupo cibercriminal conocido como araña dispersa ha desarrollado significativamente sus metodologías de ataque, lo que demuestra una sofisticación alarmante para explotar herramientas administrativas legítimas para mantener el acceso persistente a las redes comprometidas.
También rastreado bajo alias que incluyen UNC3944, Scatter Swine y Muddled Libra, este actor de amenaza de motivación financiera ha estado atacando activamente a grandes empresas desde mayo de 2022, con un enfoque particular en telecomunicaciones, empresas de tecnología en la nube y recientemente expandiéndose a los sectores minoristas, financieros y de la línea aérea.
El vector de ataque principal del grupo sigue siendo ingeniería social, particularmente a través de la suplantación de la mesa de ayuda donde los atacantes representan mientras apoyan al personal para engañar a los empleados para que revelen credenciales o instalen un software de acceso remoto.
Este enfoque centrado en el ser humano ha demostrado ser devastadoramente efectivo, como lo demuestran las infracciones de alto perfil, incluidos el ataque del casino MGM Resorts en 2023, que resultó en aproximadamente 6 terabytes de datos robados y más de $ 100 millones en daños.
Las operaciones del grupo generalmente culminan en el robo de datos para fines de extorsión, a menudo colaborando con afiliados de ransomware como AlphV/BlackCat y Dragonforce.
Los analistas de Rapid7 identificaron un nuevo mecanismo de persistencia durante las recientes investigaciones de incidentes, revelando la adopción de teletransporte por parte del grupo, una plataforma de acceso a infraestructura no asociada previamente con operaciones de arañas dispersas.
Este descubrimiento destaca la evolución y adaptabilidad continua del grupo para aprovechar las herramientas legítimas para fines maliciosos.
Persistencia avanzada a través del abuso de la plataforma de acceso a la infraestructura
La actualización táctica más significativa observada implica el uso sofisticado de teletransporte de Spider disperso, una herramienta legítima de gestión de infraestructura de código abierto.
Después de obtener acceso a la nube de nivel administrativo a través de campañas iniciales de ingeniería social, los atacantes instalaron estratégicamente agentes de teletransportación en servidores Amazon EC2 comprometidos para establecer canales de control y control remotos persistentes.
Esta técnica representa un avance considerable en las capacidades operativas, proporcionando acceso de shell remoto sostenido incluso cuando las credenciales iniciales del usuario o los puntos de acceso VPN son descubiertos y revocados por los equipos de seguridad.
La implementación del teletransporte como mecanismo de persistencia demuestra la comprensión del grupo de la gestión de la infraestructura en la nube y su capacidad para combinar actividades maliciosas con funciones administrativas legítimas.
Al utilizar el software administrativo estándar en lugar del malware personalizado, la araña dispersa reduce significativamente la probabilidad de detección por los sistemas tradicionales de monitoreo de seguridad que generalmente marcan ejecutables sospechosos o comunicaciones de red.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
