I ricercatori di Unit 42, il threat intelligence team di Palo Alto Networks, hanno indagato su diversi cyber attacchi perpetrati tra la metà del 2022 e l’inizio del 2023, attribuiti al gruppo hacker Muddled Libra. Con una conoscenza approfondita delle tecnologie informatiche enterprise, questi cybercriminali rappresentano un rischio significativo anche per le organizzazioni con livelli di protezione adeguati.
Muddled Libra è un avversario metodico che colpisce aziende che operano per lo più nei settori dell’automazione software, BPO (Business Process Outsourcing), telecomunicazioni e tecnologia, ad esempio grandi aziende di outsourcing che supportano istituzioni e individui in possesso di criptovalute di alto valore. Per contrastare Muddled Libra è necessaria una combinazione di controlli precisi, rigorosa formazione e vigile monitoraggio.
Analisi delle minacce
Muddled Libra è apparso alla fine del 2022 con il rilascio del kit di phishing 0ktapus, che offriva un framework di hosting precostituito e template in bundle. Grazie a un gran numero di portali di autenticazione realistici ma fittizi, e ad attacchi smishing mirati, il gruppo è stato in grado di raccogliere rapidamente credenziali e codici MFA di autenticazione a più fattori.
La velocità e l’ampiezza di questi attacchi hanno colto di sorpresa molti sistemi di difesa. Sebbene lo smishing non sia una novità, il framework 0ktapus ha reso più semplice e accessibile la creazione di un’infrastruttura normalmente complessa, in modo tale da garantire un’elevata percentuale di successo anche a cybercriminali poco esperti.
Queste funzionalità includevano modelli precostituiti e un canale C2 integrato via Telegram, il tutto disponibile con poche centinaia di dollari che hanno portato i criminali informatici a lanciare una massiccia campagna di attacchi contro numerose aziende.
L’elevato numero delle vittime ha provocato una significativa difficoltà in termini di attribuzione. Precedenti report di Group-IB, CrowdStrike e Okta hanno identificato altri gruppi come responsabili di questi attacchi: 0ktapus, Scattered Spider e Scatter Swine. Inizialmente si riteneva che questi gruppi facessero parte di un unico collettivo, in realtà si tratta probabilmente di più attori che utilizzano strumenti comuni.
Nel corso delle indagini, Unit 42 ha identificato diversi casi di sovrapposizione di attività, elemento che indica un sottoinsieme dei gruppi precedentemente citati che si concentra su una serie complessa di attacchi alla supply chain, con l’obiettivo di ottenere criptovalute di alto valore.
Le caratteristiche che definiscono Muddled Libra sono le seguenti:
- Utilizzo del kit di phishing 0ktapus
- Persistenza a lungo termine
- Presenza non distruttiva
- Obiettivi nel settore dell’outsourcing dei processi aziendali (BPO)
- Furto di dati
- Uso di infrastrutture compromesse negli attacchi
Le analisi hanno evidenziato l’utilizzo di un toolkit di attacco insolitamente ampio. L’arsenale del gruppo spazia da attacchi di social engineering e smishing a strumenti forensi e di penetrazione più mirati, con un vantaggio significativo anche su aziende con un piano di protezione IT solido.
Negli incidenti analizzati da Unit 42, Muddled Libra è risultato metodico nel perseguire i propri obiettivi e flessibile nelle strategie di attacco. Quando un’offensiva è stata bloccata, ha rapidamente virato su un altro vettore o modificato l’ambiente per proseguire nella strada desiderata.
Inoltre, il gruppo ha dimostrato più volte una forte comprensione del moderno framework di risposta agli incidenti, consentendogli così di continuare ad attaccare e raggiungere gli obiettivi prefissati. Una volta insediato, è difficile da estromettere.
Muddled Libra ha dimostrato anche una propensione a prendere di mira i clienti della vittima utilizzando i dati rubati e, se possibile, tornare ciclicamente dalla vittima per aggiornare il dataset rubato. In questo modo, i cybercriminali hanno la possibilità di accedere nuovamente alla prima azienda colpita anche dopo l’iniziale risposta all’incidente, dimostrando la tenacia del gruppo anche dopo essere stato scoperto.
Inoltre, Muddled Libra sembra avere obiettivi chiari per le sue violazioni rispetto alla capitalizzazione di un accesso opportunistico. Ha rapidamente cercato e rubato informazioni sugli ambienti, utilizzandole per accedervi e ha dimostrato di conoscere i clienti di valore delle sue vittime e le informazioni più utili per proseguire nei successivi attacchi.
Conclusioni
Muddled Libra ha una straordinaria capacità di sfruttare a le debolezze delle vittime, causando danni disastrosi. Per una difesa efficace, è opportuno che le aziende uniscano tecnologie all’avanguardia e un’igiene di sicurezza completa, oltre a un monitoraggio intelligente di minacce esterne ed eventi interni. Il rischio di una perdita di dati interni e dei clienti è elevato, per questo è fondamentale definire piani di protezione attuali e aggiornati. Si raccomanda quindi di:
- Implementare l’MFA e il single sign-on (SSO) laddove possibile, preferibilmente Fast Identity Online (FIDO). Nei casi analizzati, Muddled Libra ha avuto maggiore successo quando ha convinto i dipendenti ad aiutarli a bypassare l’MFA.Quando non erano in grado di farlo, sembrava spostarsi su altri obiettivi.
- Valutare il modo migliore per implementare notifiche di sicurezza e il blocco dell’account in caso di ripetuti fallimenti dell’MFA.
- Implementare una formazione completa di sensibilizzazione degli utenti. Muddled Libra è fortemente incentrato sull’ingegneria sociale sia dell’help desk che di altri dipendenti tramite telefono e SMS. La formazione dei dipendenti sull’identificazione di comunicazioni sospette non basate su e-mail è fondamentale.
- In caso di violazione, si presume che l’attore della minaccia conosca il moderno manuale di IR. è opportuno quindi considerare la possibilità di creare meccanismi di risposta alternativi.
- Assicurarsi che la protezione delle credenziali sia aggiornata, concedendo l’accesso solo per il tempo necessario.
- Il monitoraggio e la gestione degli accessi alle difese e ai controlli critici sono fondamentali per difendersi da attaccanti esperti. I diritti devono essere limitati a quanto necessario per ogni funzione lavorativa.
- Limitare i servizi di anonimizzazione autorizzati a connettersi alla rete, idealmente al firewall tramite App-ID.
