Le groupe de cybercriminels UNC3944 est célèbre pour ses activités malveillantes axées sur le swap de cartes SIM, utilisant différentes tactiques, techniques et procédures. Nouveauté récente : l’augmentation des privilèges sur les environnements vSphere et Azure en utilisant des applications d’authentification uniques pour créer des machines virtuelles compromises pour effectuer leurs activités de suivi.
UNC3944 (connu également sous les noms de Scattered Spider, 0ktapus, Octo Tempest ou encore Scatter Swine) possède plusieurs tour malveillants dans son sac. Depuis mai 2022, Mandiant surveille attentivement ce groupe de cybercriminels qui a commis des attaques SIM swapping et d’ingénierie sociale visant des services clients d’entreprises de télécommunications, ainsi que l’externalisation des processus métier. Dans un rapport récent, la branche de Google Cloud spécialisée en cybersécurité a souligné les attaques de ce cybergroupe contre des applications SaaS au cours des 10 derniers mois, et a donné un aperçu de l’évolution de ses tactiques, techniques et procédures (TTP) en fonction de ses objectifs à atteindre.
machines virtuelles compromises pour effectuer leurs activités de suivi.
« Un aspect de ces intrusions implique une méthode de persistance plus agressive qui se produit par la création de nouvelles machines virtuelles », explique le fournisseur. « Dans diverses situations, Mandiant a observé UNC3944 utiliser des applications d’authentification unique pour accéder à vSphere et Azure, afin de créer de nouvelles machines virtuelles à partir desquelles ils ont effectué toutes les opérations de suivi. C’est l’observation de l’utilisation abusive des groupes administrateurs ou des autorisations normales des administrateurs liées aux applications SSO qui est cruciale ici pour développer cette méthode de persistance. Après leur création, ces nouvelles machines virtuelles sont réinitialisées en utilisant divers outils tels que MAS_AIO et privacy-script.bat afin de désactiver certains systèmes de protection de la vie privée et de la sécurité, tels que Microsoft.
