Muddled Libra, un conocido actor de amenazas, está apuntando a aplicaciones SaaS y CSP para extraer datos sensibles. Según un informe de la Unidad 42 de Palo Alto Networks, estas aplicaciones y servicios en la nube minimizan los costos y aumentan la eficiencia. A medida que el uso de SaaS y CSP se convierte en la norma, los atacantes aprovechan estos datos para obtener ganancias financieras a través de la extorsión y el robo de datos. Muddled Libra, también conocido como Starfraud, UNC3944, Scatter Swine y Scattered Spider, ha utilizado técnicas de ingeniería social y tácticas de living off the land para evitar la detección en redes objetivos anteriores.
La Unidad 42 de Palo Alto Networks ha señalado que Muddled Libra investiga exhaustivamente los objetivos de las organizaciones al utilizar técnicas de reconocimiento para identificar a los usuarios administrativos y obtener sus contraseñas mediante la suplantación de personal de servicios de ayuda en llamadas telefónicas. Una vez obtenida esta información, los atacantes utilizan las credenciales de administrador para acceder a los portales SSO y obtener un acceso rápido a las aplicaciones SaaS y la infraestructura en la nube.
Para completar el movimiento lateral, Muddled Libra explora las credenciales del CSP, almacenadas en lugares inseguros, para cumplir con sus objetivos y ampliar el alcance de la brecha. Amazon Web Services (AWS) y Microsoft Azure son los principales objetivos, y los atacantes aprovechan herramientas como AWS DataSync, AWS Transfer y la técnica llamada snapshot para extraer datos relevantes. Ante esta situación, los expertos recomiendan protecciones de autenticación secundarias, como los tokens de hardware o biométricos para asegurar los portales de identidad. Optimiza tu defensa contra las amenazas en la nube y las aplicaciones SaaS asegurando tus credenciales y tus servicios en la nube.
Vía The Hacker News
