• Votre panier est vide.

  • LOGIN

Le groupe de cybercriminalité « Muddled Libra » cible le secteur BPO avec une ingénierie sociale avancée


Certains articles de veille peuvent faire l'objet de traduction automatique.


23 juin 2023Ravie LakshmananIngénierie sociale / Hameçonnage

Un acteur menaçant connu sous le nom de Balance confus cible l’industrie de l’externalisation des processus métier (BPO) avec des attaques persistantes qui exploitent des stratagèmes avancés d’ingénierie sociale pour obtenir un accès initial.

« Le style d’attaque définissant Muddled Libra est apparu sur le radar de la cybersécurité à la fin de 2022 avec la sortie du kit de phishing 0ktapus, qui offrait un cadre d’hébergement prédéfini et des modèles groupés », Palo Alto Networks Unit 42 a dit dans un rapport technique.

La Balance est la désignation donné par la société de cybersécurité pour les groupes de cybercriminalité. Le surnom « confus » de l’acteur menaçant découle de l’ambiguïté qui prévaut en ce qui concerne l’utilisation du framework 0ktapus.

0ktapus, également connu sous le nom de Scatter Swine, fait référence à un ensemble d’intrusions qui a été révélé pour la première fois en août 2022 dans le cadre d’attaques par smishing contre plus de 100 organisations, dont Twilio et Cloudflare.

La cyber-sécurité

Puis fin 2022, CrowdStrike a détaillé une série de cyberattaques visant les entreprises de télécommunications et de BPO au moins depuis juin 2022 au moyen d’une combinaison d’attaques de phishing d’informations d’identification et d’échange de carte SIM. Ce cluster est suivi sous les noms Roasted 0ktapus, Scattered Spider et UNC3944.

« L’unité 42 a décidé de nommer Muddled Libra en raison du paysage confus et déroutant associé au kit de phishing 0ktapus », a déclaré Kristopher Russo, chercheur principal sur les menaces, à The Hacker News.

« Depuis que le kit est désormais largement disponible, de nombreux autres acteurs de la menace l’ajoutent à leur arsenal. L’utilisation du kit de phishing 0ktapus seul ne classe pas nécessairement un acteur de la menace dans ce que l’Unité 42 appelle Muddled Libra. »

Les attaques du groupe e-crime commencent par l’utilisation du kit de phishing smishing et 0ktapus pour établir l’accès initial et se terminent généralement par le vol de données et la persistance à long terme.

Une autre caractéristique unique est l’utilisation d’infrastructures compromises et de données volées dans les attaques en aval contre les clients de la victime, et dans certains cas, même en ciblant les mêmes victimes encore et encore pour reconstituer leur ensemble de données.

L’unité 42, qui a enquêté sur plus d’une demi-douzaine d’incidents de la Balance confuse entre juin 2022 et début 2023, a caractérisé le groupe comme obstiné et « méthodique dans la poursuite de ses objectifs et très flexible dans ses stratégies d’attaque », changeant rapidement de tactique lorsqu’il rencontrait des barrages routiers.

En plus de favoriser un large éventail d’outils de gestion à distance légitimes pour maintenir un accès persistant, Muddled Libra est connu pour altérer les solutions de sécurité des terminaux pour échapper à la défense et abuser des tactiques de fatigue des notifications d’authentification multifacteur (MFA) pour voler les informations d’identification.

L’acteur de la menace a également été observé en train de collecter des listes d’employés, des rôles professionnels et des numéros de téléphone portable pour réussir les attentats à la bombe et les bombardements rapides. Si cette approche échoue, les acteurs de Muddled Libra contactent le service d’assistance de l’organisation en se faisant passer pour la victime pour inscrire un nouvel appareil MFA sous leur contrôle.

« Le succès de l’ingénierie sociale de Muddled Libra est remarquable », ont déclaré les chercheurs. « Dans bon nombre de nos cas, le groupe a fait preuve d’un degré de confort inhabituellement élevé en engageant à la fois le service d’assistance et d’autres employés par téléphone, les convainquant de s’engager dans des actions dangereuses. »

Des outils de vol d’informations d’identification tels que Mimikatz et Raccoon Stealer sont également utilisés dans les attaques pour élever l’accès ainsi que d’autres scanners pour faciliter la découverte du réseau et finalement exfiltrer les données de Confluence, Jira, Git, Elastic, Microsoft 365 et les plates-formes de messagerie internes.

L’unité 42 a théorisé que les fabricants du kit de phishing 0ktapus n’ont pas les mêmes capacités avancées que Muddled Libra possède, ajoutant qu’il n’y a pas de lien défini entre l’acteur et UNC3944 malgré les chevauchements d’artisanat.

« À l’intersection de l’ingénierie sociale sournoise et de l’adaptation agile de la technologie se trouve Muddled Libra », ont déclaré les chercheurs. « Ils sont compétents dans une gamme de disciplines de sécurité, capables de prospérer dans des environnements relativement sécurisés et de s’exécuter rapidement pour compléter des chaînes d’attaque dévastatrices. »

« Avec une connaissance intime des technologies de l’information d’entreprise, ce groupe de menaces présente un risque important même pour les organisations disposant de cyberdéfense héritées bien développées. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Voir aussi :

juin 24, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)