קבוצת פשיעת סייבר בשם Scattered Spider החלה לגנוב מידע מיישומי תוכנה כשירות (SaaS) ולבסס נוכחות זדונית במערכות המידע של הקורבנות באמצעות יצירת מכונות וירטואליות משלהם. קבוצת פשיעה זו הנקראת גם Octo Tempest, 0ktapus, Scatter Swine ו- UNC3944, עוסקת בדרך כלל במתקפות הנדסה חברתית המשתמשות בהתחזות ב- SMS, החלפת SIM וחטיפת חשבונות משתמשים. קיימים דיווחים על כך ש- Scattered Spider היא כנופיה מאורגנת בעלת חברים ספציפיים, אולם הקבוצה היא למעשה קולקטיב של דוברי אנגלית (לאו דווקא ממדינות דוברות אנגלית) הפועל יחד במטרה לבצע פריצות סייבר, גניבת נתונים וסחיטת הקורבנות. חלקם משתפים פעולה בתדירות גבוהה יותר, אך אין זה נדיר שמתארגנות קבוצות חברים בעלי כישורים המתאימים למשימה מסוימת.
חברת אבטחת הסייבר של גוגל – Mandiant מציינת שהטקטיקות, הטכניקות והנהלים של Scattered Spider התרחבו לתשתיות ענן ויישומי SaaS במטרה לגנוב מידע המיועד לסחיטת הקורבנות, מבלי להצפין את מערכות המחשוב שלהם.
Scattered Spider מסתמכת על טכניקות הנדסה חברתית המכוונות לרוב כנגד אנשי תמיכה טכנית בארגוניים, בניסיון להשיג גישה ראשונית לחשבון ספציפי. פושעי הסייבר ערוכים היטב מראש כשבידיהם מידע אישי, תארי עבודה ושמות מנהלים כדי לעקוף תהליכי אימות. פושעי הסייבר מתיימרים להיות משתמש לגיטימי המבקש סיוע באיפוס אימות רב-גורמי (MFA) כדי להגדיר מכשיר חדש. לאחר השגת גישה לסביבת המחשוב של הקורבן, משתמשים Scattered Spider בהרשאות Okta הקשורות לחשבון שנפרץ כדי להגיע לענן ולאפליקציות SaaS של הקורבן. לדברי Mandiant: "עם הסלמה זו של הרשאות, יכולים פושעי הסייבר לא רק להשתמש לרעה ביישומים הממנפים את Okta עבור כניסה יחידה, אלא גם לבצע סיור פנימי באמצעות שימוש בפורטל האינטרנט Okta."
לצורך ביסוס נוכחות במערכות המידע של הקורבן, יוצרים Scattered Spider מכונות וירטואליות חדשות ב- vSphere וב- Azure, תוך שימוש בהרשאות הניהול שלהם והגדרת ה- VMs הללו כדי להשבית את הגנות האבטחה. לאחר מכן, הם משביתים את Microsoft Defender ותכונות טלמטריה אחרות ב- Windows המאפשרות להם לפרוס כלים לתנועה לרוחב, כגון Mimikatz ומסגרת IMPACKET, יחד עם כלי עזר למנהור (NGROK, RSOCX ו- Localtonet) המאפשרים גישה ללא צורך ב- VPN או באימות MFA. פושעי הסייבר משתמשים בכלי סנכרון ענן לגיטימיים כמו Airbyte ו- Fivetran כדי להעביר את מידע הקורבנות לאחסון הענן שלהם בשירותים בעלי מוניטין כמו Google Cloud Platform (GCP) ושירותי האינטרנט של אמזון (AWS). לפי Mandiant, מסיירים פושעי הסייבר של Cattered Spider ביישומי SaaS שונים של לקוח לצורך בדיקת נתונים, למשל vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS, Workday ו- GCP. הקבוצה משתמשת בכלי החיפוש והגילוי של Microsoft Office Delve עבור Microsoft Office 365 כדי לזהות פרויקטים פעילים, דיונים בנושאי עניין ומידע סודי. בנוסף, משתמשים Scattered Spider בפתרונות זיהוי ותגובה של נקודות קצה כדי לבדוק את הגישה שלהם לסביבה. הם יוצרים מפתחות API בקונסולה החיצונית של CrowdStrike ומוציאים לפועל את פקודות whoami ו- quser כדי ללמוד על הרשאות המשתמש המחובר כרגע במערכת.
Mandiant מציינים גם כי Scattered Spider מכוונים ל- Active Directory Federated Services (ADFS) כדי לחלץ אישורים, יחד עם מתקפת Golden SAML (אובייקט אימות מזויף של SAML המאפשר ביצוע אימות בכל שירות המשתמש בפרוטוקול SAML 2.0 כמנגנון SSO). במתקפת SAML Golden יכולים פושעי סייבר להשיג גישה ליישומים מבוססי ענן ולכל אפליקציה התומכת באימות SAML (למשל Azure, AWS, vSphere וכו') עם כל הרשאות שהם רוצים ולהיות כל משתמש באפליקציה הממוקדת.
Mandiant ממליצים להתמקד בניטור טוב יותר של יישומי SaaS – ניטור הכולל ריכוז יומנים משירותים חשובים, רישומים מחדש של MFA ותשתית מכונות וירטואליות, תוך שימת לב ספציפית לזמן פעולה ויצירת מכשירים חדשים. שילוב של אישורים מבוססי מארח עם אימות רב-גורמי לגישה ל- VPN ויצירת מדיניות גישה מחמירה יותר כדי לשלוט בפעולות המתרחשות בענן, הן פעולות העשויות להגביל פולש פוטנציאלי ואת ההשפעה של פריצת סייבר.