Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Socjotechnika pozostaje jednym z najskuteczniejszych narzędzi wykorzystywanych przez cyberprzestępców do uzyskania dostępu do kont, danych i systemów administracyjnych. Zamiast polegać wyłącznie na lukach technicznych, napastnicy coraz częściej manipulują pracownikami, partnerami zewnętrznymi i zespołami wsparcia, aby obejść procedury bezpieczeństwa. Najnowsza opisana kampania pokazuje, że ten model działania jest dziś łączony z wymuszeniami finansowymi, kradzieżą danych oraz utrwalaniem dostępu do środowisk firmowych.
W skrócie
Badacze przypisują opisaną aktywność klastrowi UNC6783, który prowadzi kampanię wymuszeń opartą na socjotechnice. Grupa ma koncentrować się na pracownikach help desków oraz firmach outsourcingowych obsługujących procesy wsparcia dla innych organizacji. W atakach wykorzystywane są fałszywe strony logowania Okta, zestawy phishingowe pozwalające omijać MFA, złośliwe narzędzia zdalnego dostępu oraz wiadomości z żądaniem zapłaty po uzyskaniu dostępu lub wycieku danych.
Kontekst / historia
Opisana kampania wpisuje się w szerszy trend ataków na obszar tożsamości cyfrowej oraz procesy obsługi użytkowników. W ostatnich latach rośnie liczba incydentów, w których celem nie jest bezpośrednio główna organizacja, lecz jej partner operacyjny, outsourcer lub dział posiadający możliwość resetu haseł, rejestracji urządzeń i odzyskiwania dostępu do kont.
Taka strategia jest szczególnie niebezpieczna w środowiskach, gdzie help desk może zmieniać metody uwierzytelniania lub inicjować działania administracyjne na koncie użytkownika. Jeżeli atakujący zdoła zbudować wiarygodną historię i przekonać pracownika wsparcia do wykonania określonych czynności, może ominąć część klasycznych zabezpieczeń technicznych. Ryzyko dodatkowo rośnie w modelu outsourcingowym, ponieważ jeden dostawca BPO często obsługuje wiele podmiotów jednocześnie.
Analiza techniczna
Model operacyjny UNC6783 opiera się na kilku etapach. Pierwszym jest identyfikacja organizacji pośrednich, takich jak firmy outsourcingowe i zespoły wsparcia, które mają dostęp do systemów, danych lub procesów klientów. Tego typu podmioty stanowią atrakcyjny punkt wejścia, ponieważ często działają na styku wielu środowisk i mają wysokie uprawnienia operacyjne.
Kolejnym krokiem jest manipulacja personelem wsparcia. Napastnicy wykorzystują komunikację przypominającą legalne zgłoszenia użytkowników i kierują ofiary na spreparowane strony logowania, które podszywają się pod legalne mechanizmy uwierzytelniania. Celem jest przejęcie poświadczeń, tokenów sesyjnych lub innych elementów umożliwiających uzyskanie dostępu do konta.
Istotnym elementem kampanii jest użycie phishingowych zestawów AiTM, które pozwalają omijać niektóre wdrożenia uwierzytelniania wieloskładnikowego. Oznacza to, że sama obecność MFA nie gwarantuje ochrony, jeśli organizacja korzysta z metod podatnych na przechwycenie w czasie rzeczywistym lub na nieświadome zatwierdzenie przez użytkownika. Po skutecznym przejęciu tożsamości atakujący mogą rejestrować własne urządzenie w środowisku ofiary i utrwalać dostęp.
W części scenariuszy stosowane jest także fałszywe oprogramowanie bezpieczeństwa, którego celem jest nakłonienie pracowników do pobrania złośliwego narzędzia zdalnego dostępu. Taki etap rozszerza skalę incydentu: atak nie kończy się na kradzieży danych logowania, lecz może prowadzić do pełnej interaktywnej obecności napastnika na stacji roboczej lub w systemach korporacyjnych.
Ostatnim etapem są działania wymuszeniowe. Po uzyskaniu dostępu i potencjalnym wycieku danych przestępcy wysyłają noty z żądaniem okupu. Ten model wskazuje na motywację finansową i łączy phishing tożsamościowy z taktyką extortionware, nawet jeśli nie dochodzi do klasycznego wdrożenia ransomware w całym środowisku.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem takiej kampanii jest przejęcie zaufanych ścieżek administracyjnych. Jeśli atakujący uzyska możliwość resetowania metod uwierzytelniania, przypisania nowego urządzenia lub przejęcia konta wsparcia, może eskalować uprawnienia bez konieczności wykorzystywania tradycyjnych exploitów.
- kradzież danych klientów i danych operacyjnych,
- utrzymanie trwałego dostępu do systemów tożsamościowych,
- naruszenie poufności zgłoszeń serwisowych i dokumentacji wsparcia,
- możliwość dalszych ataków na inne podmioty w łańcuchu usług,
- wymuszenia finansowe oparte na groźbie ujawnienia danych.
Szczególnie narażone pozostają organizacje, które powierzają procesy wsparcia podmiotom zewnętrznym, korzystają ze scentralizowanych platform IAM i SSO, dopuszczają rejestrację nowych urządzeń bez silnej weryfikacji oraz stosują metody MFA podatne na phishing.
Rekomendacje
Podstawowym działaniem obronnym powinno być wdrożenie phishing-resistant MFA, zwłaszcza rozwiązań opartych na standardach FIDO2 i WebAuthn. Takie mechanizmy znacząco ograniczają skuteczność stron pośredniczących oraz zestawów AiTM.
- wprowadzenie ścisłych procedur weryfikacji tożsamości dla help desków i zespołów wsparcia,
- zakaz resetowania krytycznych metod uwierzytelniania wyłącznie na podstawie łatwo dostępnych danych,
- dodatkowa autoryzacja przy rejestracji nowych urządzeń,
- monitorowanie nietypowych zapisów urządzeń oraz zmian w politykach dostępu,
- blokowanie domen podszywających się pod usługi logowania i markę organizacji,
- wzmocnienie ochrony poczty oraz komunikatorów przed phishingiem.
Równie istotny jest nadzór nad dostawcami zewnętrznymi. Organizacje powinny regularnie oceniać poziom bezpieczeństwa partnerów BPO, wymagać kontroli dostępu zgodnych z zasadą najmniejszych uprawnień oraz prowadzić wspólne ćwiczenia reagowania na incydenty związane z przejęciem tożsamości.
Z perspektywy SOC i zespołów IR warto zwracać uwagę na logowania do systemów tożsamościowych z nowych lokalizacji lub urządzeń, nagłe dodanie nowego czynnika MFA, reset kont po nietypowych kontaktach z help deskiem oraz użycie narzędzi zdalnego dostępu spoza standardowego katalogu oprogramowania.
Podsumowanie
Przypadek UNC6783 pokazuje, że współczesne kampanie wymuszeń coraz częściej zaczynają się nie od exploita czy ransomware, lecz od człowieka, procesu wsparcia i zaufania do partnera usługowego. Ataki na help deski, fałszywe strony logowania, obchodzenie MFA i rejestracja urządzeń napastnika tworzą skuteczny łańcuch przejęcia tożsamości. Dla organizacji oznacza to konieczność przesunięcia akcentu z ochrony samego perymetru na bezpieczeństwo tożsamości, procedur operacyjnych i relacji z dostawcami.
Źródła
- https://www.cybersecuritydive.com/news/threat-actor-social-engineering-raccoon-persona/816804/
- https://www.linkedin.com/
- https://www.okta.com/
- https://cloud.google.com/security
- https://www.cisa.gov/