Un actor de amenazas conocido como Muddled Libra está apuntando a la industria de subcontratación de procesos comerciales (BPO) con ataques persistentes que aprovechan tácticas avanzadas de ingeniería social para obtener acceso inicial.
«El estilo de ataque que define a Muddled Libra apareció en el radar de ciberseguridad a fines de 2022 con el lanzamiento del kit de phishing 0ktapus, que ofrecía un marco de alojamiento preconstruido y plantillas agrupadas», dijo la Unidad 42 de Palo Alto Networks en un informe técnico .
Libra es la designación que da la empresa de ciberseguridad a los grupos de ciberdelincuencia. El apodo «confundido» para el actor de amenazas se deriva de la ambigüedad predominante con respecto al uso del marco 0ktapus.
0ktapus , también conocido como Scatter Swine, se refiere a un conjunto de intrusiones que salió a la luz por primera vez en agosto de 2022 en relación con ataques de smishing contra más de 100 organizaciones, incluidas Twilio y Cloudflare.
Luego, a fines de 2022, CrowdStrike detalló una serie de ataques cibernéticos dirigidos a empresas de telecomunicaciones y BPO al menos desde junio de 2022 mediante una combinación de phishing de credenciales y ataques de intercambio de SIM. Este grupo se rastrea con los nombres Roasted 0ktapus, Scattered Spider y UNC3944 .
«La Unidad 42 decidió llamar a Muddled Libra debido al confuso paisaje confuso asociado con el kit de phishing 0ktapus», dijo a The Hacker News el investigador principal de amenazas, Kristopher Russo.
«Dado que el kit ahora está ampliamente disponible, muchos otros actores de amenazas lo están agregando a su arsenal. Usar solo el kit de phishing 0ktapus no necesariamente clasifica a un actor de amenazas como lo que la Unidad 42 llama Libra Confusa».
Los ataques del grupo de delincuencia electrónica comienzan con el uso de smishing y el kit de phishing 0ktapus para establecer el acceso inicial y, por lo general, terminan con el robo de datos y la persistencia a largo plazo.
Otro sello único es el uso de infraestructura comprometida y datos robados en ataques posteriores a los clientes de la víctima y, en algunos casos, incluso apuntando a las mismas víctimas una y otra vez para reponer su conjunto de datos.
La Unidad 42, que investigó más de media docena de incidentes de Muddled Libra entre junio de 2022 y principios de 2023, caracterizó al grupo como obstinado y «metódico en la consecución de sus objetivos y muy flexible con sus estrategias de ataque», cambiando rápidamente de táctica al encontrar obstáculos.
Además de favorecer una amplia gama de herramientas legítimas de administración remota para mantener el acceso persistente, se sabe que Muddled Libra manipula las soluciones de seguridad de puntos finales para evadir la defensa y abusar de las tácticas de fatiga de notificaciones de autenticación multifactor (MFA) para robar credenciales.
También se ha observado que el actor de amenazas recopila listas de empleados, funciones laborales y números de teléfonos celulares para llevar a cabo los ataques de smishing y bombardeo rápido. Si este enfoque falla, los actores de Muddled Libra se ponen en contacto con la mesa de ayuda de la organización haciéndose pasar por la víctima para inscribir un nuevo dispositivo MFA bajo su control.
«El éxito de la ingeniería social de Muddled Libra es notable», dijeron los investigadores. «En muchos de nuestros casos, el grupo demostró un grado inusualmente alto de comodidad al involucrar tanto a la mesa de ayuda como a otros empleados por teléfono, convenciéndolos de participar en acciones inseguras».
También se emplean en los ataques herramientas de robo de credenciales como Mimikatz y Raccoon Stealer para elevar el acceso, así como otros escáneres para facilitar el descubrimiento de la red y, en última instancia, filtrar datos de Confluence, Jira, Git, Elastic, Microsoft 365 y plataformas de mensajería interna.
Unit 42 teorizó que los creadores del kit de phishing 0ktapus no tienen las mismas capacidades avanzadas que posee Muddled Libra, y agregó que no existe una conexión definitiva entre el actor y UNC3944 a pesar de las superposiciones comerciales.
«En la intersección de la ingeniería social tortuosa y la adaptación tecnológica ágil se encuentra Muddled Libra», dijeron los investigadores. «Son competentes en una variedad de disciplinas de seguridad, capaces de prosperar en entornos relativamente seguros y ejecutar rápidamente para completar cadenas de ataque devastadoras».
«Con un conocimiento profundo de la tecnología de la información empresarial, este grupo de amenazas presenta un riesgo significativo incluso para las organizaciones con defensas cibernéticas heredadas bien desarrolladas».
Fuente y redacción: thehackernews.com
