Группа Muddled Libra обладает глубокими знаниями корпоративных IT-технологий и использует их для проведения сложных атак на компании из разных отраслей.

Группировка Muddled Libra нацелена на индустрию аутсорсинга бизнес-процессов (BPO) для получения начального доступа с социальной инженерии

Атаки Muddled Libra впервые были обнаружены в конце 2022 года с выпуском фишингового набора 0ktapus, который предлагал предварительно созданную структуру хостинга и шаблоны для фишинга.

Атаки группы Muddled Libra начинаются с использования комплекта фишинга 0ktapus для установления начального доступа и обычно заканчиваются кражей данных и долгосрочным сохранением в системе жертвы. 0ktapus (Scatter Swine) относится к набору фишинга, который впервые был обнаружен в августе 2022 года в связи с атаками на более 130 организаций , включая Twilio и Cloudflare .

Еще одним уникальным признаком является использование скомпрометированной инфраструктуры и украденных данных в последующих атаках на клиентов жертвы, а в некоторых случаях даже повторное нацеливание на одних и тех же жертв для пополнения их набора данных.

Специалисты Unit 42 расследовали 6 инцидентов с Muddled Libra в период с июня 2022 года по начало 2023 года и выяснили, что помимо использования легитимных инструментов удаленного управления для поддержания постоянного доступа, Muddled Libra манипулирует решениями безопасности конечных точек для уклонения от защиты, а также злоупотребляет тактикой MFA Fatigue для кражи учетных данных.

Также было замечено, что злоумышленник собирает списки сотрудников, должностные обязанности и номера мобильных телефонов, чтобы осуществить атаку. Если такой подход терпит неудачу, участники Muddled Libra обращаются в службу поддержки организации, изображая из себя жертву, чтобы зарегистрировать новое устройство с MFA, находящееся под их контролем.

В атаках также используются инструменты для кражи учетных данных, такие как Mimikatz и Raccoon Stealer, для повышения доступа, а также другие сканеры для облегчения обнаружения сети и, в конечном итоге, для извлечения данных из Confluence, Jira, Git, Elastic, Microsoft 365 и внутренних платформ обмена сообщениями.

Благодаря глубокому знанию корпоративных информационных технологий эта группа угроз представляет значительный риск даже для организаций с хорошо развитой, но устаревшей киберзащитой.

Источник: securitylab