Scattered Spider (UNC3944) ha sido rastreado por investigadores de seguridad desde aproximadamente mayo de 2022.
El grupo está formado por miembros de Estados Unidos y el Reino Unido, algunos de ellos de tan solo 19 años, dijeron los investigadores.
UNC3944 “depende en gran medida de ataques de phishing por correo electrónico y SMS y se ha observado que intentan realizar phishing a otros usuarios dentro de una organización una vez que han obtenido acceso a las bases de datos de los empleados”, según un perfil reciente sobre la pandilla elaborado por la compañía de inteligencia de amenazas Mandiant.
Una vez dentro de un sistema, los atacantes utilizan herramientas de acceso remoto para mantener una presencia constante para modificar y robar los datos de la víctima.
Scattered Spider continúa aprovechando una variedad de tácticas de ingeniería social, incluido el phishing de Telegram y SMS, el intercambio de SIM, la fatiga MFA y otras tácticas como parte de sus ataques. A menudo se ha observado que este grupo se hace pasar por personal de TI para convencer a las personas de que compartan sus credenciales o concedan acceso remoto a sus computadoras, y se le ha vinculado con varias campañas de phishing e implementaciones de controladores de kernel maliciosos anteriores, incluido el uso de una versión firmada pero maliciosa del sistema operativo Windows. Controlador de diagnóstico Intel Ethernet.
Anteriormente han utilizado ataques de intercambio de SIM y, por lo general, se dirigen a empresas de la industria de las telecomunicaciones. Una vez dentro de un sistema, los atacantes utilizan herramientas de acceso remoto para mantener una presencia constante para modificar y robar los datos de la víctima.
Herramientas que utilizan
Scattered Spider utiliza POORTRY y STONESTOP para finalizar el software de seguridad y evadir la detección.
POORTRY es un controlador malicioso que se utiliza para finalizar procesos seleccionados en sistemas Windows, por ejemplo, el agente de detección y respuesta de endpoints (EDR) en un endpoint.
Para evadir la detección, los atacantes han firmado el controlador POORTRY con una firma Authenticode de compatibilidad de hardware de Microsoft Windows.
STONESTOP es una utilidad de usuario de Windows que intenta finalizar procesos creando y cargando un controlador malicioso. Funciona como cargador/instalador de POORTRY y como orquestador para indicar al conductor qué acciones realizar.
En abril de 2023, el grupo de ransomware ALPHV (BlackCat) que hackeo esta semana pasada al MGM, utilizó una versión actualizada de POORTRY para comprometer al gigante de pagos estadounidense NCR – cajeros automáticos- , lo que provocó una interrupción en su plataforma de punto de venta Aloha.
Charles Carmakal, director técnico de Mandiant Inc., que forma parte de Google Cloud, caracterizó a Scattered Spider como "uno de los actores de amenazas más frecuentes y agresivos que afectan a las organizaciones en los Estados Unidos en la actualidad".
