黑客组织Scattered Spider正疯狂攻击VMware ESXi管理程序
名为分散蜘蛛 (Scattered Spider)的网络犯罪组织通过攻击美国零售、航空、运输和保险行业的VMware ESXi管理程序,积极瞄准虚拟化环境。
根据谷歌威胁情报组织(GITG)的说法,攻击者一直在使用他们通常的策略,不包括漏洞利用,而是依靠完美执行的社会工程“绕过成熟的安全程序”。
Scattered Spider攻击
研究人员表示,该团伙通过在呼叫IT帮助台时冒充员工随后开始攻击。威胁者的目的是说服代理更改员工的Active Directory密码,从而获得初始访问权限。
这样,Scattered Spider就可以扫描网络设备,寻找能够提供高价值目标的IT文档,比如域或VMware vSphere管理员的名称,以及可以提供虚拟环境管理权限的安全组。
与此同时,他们扫描特权访问管理(PAM)解决方案,这些解决方案可能包含敏感数据,这些数据对转移到有价值的网络资产很有用。
然后,黑客们通过自己的方式获得了对该公司VMware vCenter Server Appliance (vCSA)的访问权——这是一种允许管理VMware vSphere环境的虚拟机,其中包括用于管理物理服务器上所有虚拟机的ESXi管理程序。
此级别的访问权限使他们能够在ESXi主机上启用SSH连接并重置根密码。此外,他们执行所谓的“磁盘交换”攻击,以提取Active Directory的NTDS.dit关键数据库。
磁盘替换攻击发生在威胁者关闭域控制器虚拟机 (VM) 并仅分离其虚拟磁盘,然后将其附加到他们控制的另一个未受监控的VM上时。在复制敏感数据(例如 NTDS.dit 文件)后,他们还原该过程并开启域控制器机器。
需要注意的是,Scattered Spider在虚拟基础设施上获得的控制级别允许它们管理所有可用的资产,包括备份机器,这些机器被清除了备份作业、快照和存储库。
在攻击的最后阶段,Scattered Spider利用他们的SSH访问来交付和部署勒索软件二进制文件,以加密数据存储中检测到的所有VM文件。
根据他们的观察,GTIG研究人员表示,分散蜘蛛攻击有五个不同的阶段,这些阶段允许黑客从低级访问转移到完全控制虚拟机管理程序。
Scattered Spider攻击
一个分散的蜘蛛攻击链,从最初的访问到数据泄露和勒索软件部署,可能在几个小时内发生。据谷歌相关人员表示,即使没有利用任何软件漏洞,威胁者也设法对整个虚拟环境进行前所未有的控制,使他们能够绕过许多传统的来宾安全控制。
虽然针对ESXi虚拟机管理程序并不是什么新鲜事,但GTIG指出,他们正看到越来越多的勒索软件组织采用这种策略,并预计这个问题会越来越严重。
这背后的一个原因可能是,对手已经注意到,VMware的基础设施通常不被组织所了解,因此,没有得到强有力的防御。
为了帮助组织抵御这些攻击,谷歌发布了一篇技术文章,描述了Scattered Spider攻击的各个阶段,解释了为什么它是有效的,并提供了公司可以采取的措施,以便在早期阶段检测到漏洞。
建议的措施可归纳为三个主要方面:
·使用execinstalldonly、虚拟机加密和禁用SSH锁定vSphere。避免ESXi上的AD直接连接,删除孤立虚拟机,执行严格的MFA和访问策略。持续监控配置漂移。
·跨VPN、AD和vCenter使用防网络钓鱼的MFA。隔离Tier 0资产(数据中心、备份、PAM),避免将它们托管在它们所保护的相同基础设施上。考虑单独的云idp来打破AD依赖。
·将日志集中在SIEM中,并对关键行为(如管理员组更改、vCenter登录和启用SSH)进行警报。使用不可变的气隙备份和针对管理程序层攻击的测试恢复。
Scattered Spider(也被称为UNC3944, Octo Tempest,0ktapus)是一个以经济为动机的威胁组织,专门从事社会工程,它最近加强了对英国大型零售公司、航空公司和运输实体以及保险公司的攻击活动。尽管英国国家犯罪局逮捕了该组织的4名疑似成员,但源自其他集群的恶意活动并没有消退,安全研究人员建议人们应该继续保持谨慎。
