TTP del grupo LAPSUS$
El TTP del grupo LAPSUS$ es oficialmente desarrollado y divulgado por Microsoft quien ha identificado al grupo con el ID "DEV-0537". En RedBird hemos asignado el ID "GCA-0432".
5.- Exfiltración
6.- Impacto
Desarrollo de Recursos
- Tener acceso a una infraestructura dedicada que se ejecuta en un proveedor de servidor privado virtual (VPS).
- Hace uso de NordVPN para realizar sus ataques durante todo el proceso.
Acceso Inicial y Persistencia
- Distribución de malware para el robo de credenciales de acceso. Hace uso de RedLine para obtener credenciales de acceso (user/pass) y tokens de sesión.
- Compra de credenciales de acceso y tokens de sesión en foros de la DarkNet.
- Explota a insiders de la empresa. Paga a empleados de la organización objetivo así como a proveedores de servicio y socios comerciales para obtener credenciales de acceso o poder burlar el MFA con credenciales aprobadas por el insider.
- Busca en repositorios de código públicos credenciales expuestas.
- Accede a sistemas y aprisiones orientados a internet haciendo uso de credenciales de acceso compradas o comprometidas (vCenter, VPN, RDP, Citrix, VDI, Active Directory, Okta, etc.)
- Adquiere credenciales adicionales para burlar el MFA con autenticación de dos factores o capacidades de recuperación de contraseña.
- Realiza un ataque de intercambio de SIM, sin pasar por la autenticación MFA basado en teléfono.
Reconocimiento y Escalada de Privilegios
- Enumera todos los usuarios y grupos de red. Herramienta: AD Explorer.
- Descubre y accede a plataformas de colaboración como SharePoint o Confluence, soluciones de seguimiento de problemas como JIRA, repositorios de código como Gitlab, Github y canales de colaboración organizativa como Teams o Slack.
- Explota vulnerabilidades sin parches en servidores accesibles internamente como JIRA, Gitlab y Confluence.
- Busca en repositorios de código y plataformas de colaboración para acceder a credenciales o información sensible.
- Hace uso de las herramientas DCSync Attack y Mimikatz para volcar credenciales y elevar los privilegios.
- Realiza acciones para recuperar o restablecer contraseñas en donde emplea tácticas de ingeniería social en contra de los empleados o personal del servicio de asistencia o servicio técnico.
Evasión de defensa y acceso a credenciales
- Hace uso de certificados robados de empresas infiltradas para firmar código malicioso.
- Vuelca la base de datos NTDS para robar credenciales de dominio
- Crea una nueva maquina virtual dentro del entorno de nube de destino
- Crea y configura una cuenta de administrador global en su instancia de la nube.
Ex-filtración
- Descarga los datos confidenciales de la organización de destino a un sistema unido a la VPN de la organización o al sistema unido a Azure AD.
Impacto
- Robo de fondos de cuentas de criptomendas.
- Robo de datos confidenciales y filtraciones publicas.
- Envió de correos electrónicos (PHISHING) y SMS (SMISHING) a clientes.
- Eliminación de recursos críticos en la nube y sistemas internos.
- Manipulación del sitio web.
- Demanda de rescate para evitar filtración de datos robados.
- Hackeo de cuentas en Twitter
- Fallo temporal del servicio (No DoS, DDoS).
Conclusión de TTP
El grupo GCA-0432 hace uso de campañas de PHISHING y tácticas de ingeniería social en contra de empleados y personal de soporte y asistencia técnica de las empresas/organizaciones objetivo, así como de socios comerciales o proveedores de servicios de las mismas. Se centra en la obtención de credenciales de acceso, mediante sus campañas de phishing, reconocimiento en repositorios de código públicos y la compra de las mismas en foros de la Darknet. El grupo GCA-0432 también explota a insiders internos de las organizaciones para obtener acceso, ya sea mediante la compra directa de credencias de acceso, tokens de sesión o ayuda para evadir las medidas de seguridad MFA con credenciales previamente obtenidas.
0 Comentarios