DragonForce勒索软件卡特尔攻击英国零售商:从前门进入的技术剖析

本文详细分析了DragonForce勒索软件组织通过社会工程学手段攻击英国零售巨头的技术细节,包括利用服务台获取MFA访问权限、横向移动技术,并提供了具体的防御建议和事件响应指南。

DragonForce勒索软件卡特尔攻击英国高街零售商:从前门进入

以DragonForce名义运作并攻击英国高街零售商的个人正在使用社会工程学手段进行入侵。我认为解析正在发生的事件符合公共利益。

对玛莎百货(Marks and Spencer)、Co-op和哈罗德百货(Harrods)的攻击是相互关联的。DragonForce的"可爱"公关团队声称还会有更多攻击。

防御者应立即确保他们已经阅读了CISA关于Scattered Spider和LAPSUS$的简报,因为这是2022-2023年活动的重演,当时英伟达、三星、Rockstar和微软等多家公司都遭到了入侵。更多信息如下。

我并不是说这就是Scatter Spider;Scattered Spider已经变成了电子犯罪集团的垃圾场。关键是威胁行为者正在通过前门进入,通过服务台获取MFA访问权限——防御者关于如何应对的指南非常有用,链接如下。

来源:网络安全和基础设施安全局(CISA)

DragonForce是一个白标卡特尔行动,容纳任何想要进行电子犯罪的人。其中一些人在电子犯罪方面相当擅长。

当组织在RSA大会上关注量子AI网络超级威胁时——残酷的现实是,大多数组织还没有建立足够的基础来担心这类事情。生成式AI对高管来说是色情内容,是增长投资——威胁行为者非常清楚现在是发动攻击的时候,不是用GenAI,而是利用基础问题。因为没有人关注。

一旦他们获得访问权限,他们就会"靠山吃山"——使用Teams、Office搜索来查找文档等工作。忘记APT吧,现在你面临真正的威胁:高级持久青少年(Advanced Persistent Teenagers),他们已经意识到逃避大多数大型网络项目的方法是扮演员工角色。上次发生这种情况时,伦敦警察厅最终逮捕了几名18岁以下的英国国民,导致事件大幅减少。

DragonForce的说法

DragonForce在Tox上告诉我,他们已经入侵了Co-op集团。他们告诉彭博社,他们还入侵了玛莎百货和哈罗德百货:

他们声称已经窃取了数据,并计划公开释放。

他们向BBC提供了一些Co-op集团的数据:

BBC验证了这些数据,导致Co-op最终承认会员数据库被盗——此前它曾保证没有数据被访问。

此外,BBC报告中有这样的细节:

匿名黑客与BBC分享了他们在4月25日通过内部Microsoft Teams聊天发送给Co-op网络安全负责人的第一条勒索信息的截图。

聊天记录显示:“你好,我们从贵公司窃取了数据。”

Co-op在接下来的6天内没有通知同事或媒体存在问题。它仍然没有以书面形式通知会员——客户——存在问题(我是其中之一),也没有通知前员工(我也是其中之一)。

在对现有员工的声明中,它将此问题描述为涉及"第三方"的"IT问题",从未使用"网络事件"等术语,甚至没有提及安全,并向媒体暗示黑客攻击未成功。考虑到向员工发送的Teams消息(和电话),很明显情况并非如此。

Co-op对其成员负有道德责任——毕竟他们是一个成员所有的合作社——目前在这方面严重失职。

你对受害者感到同情吗?

是的。我曾经为其中一个受害组织工作过。我之前也在另一个组织处理过类似的事件。这些事件是噩梦。有很多关于这类事件对心理健康影响的研究。经历这种情况的组织应该给予IT和网络团队相当大的回旋余度和理解来应对。当企业心脏病发作时,你需要冷静的头脑,让专业人士治疗病人——即使病人是你自己。他们还需要以透明为基础,以维持客户信任。违规是正常的,会发生——当你坦诚相待时,人们会理解。

威胁行为者为何如此成功?

这里的威胁行为者以员工身份工作——虽然不是员工。他们通过LAPSUS$和Scattered Spider使用的方法获得访问权限——例如,打电话冒充员工或承包商要求访问——然后登录,阅读关于VMware等内容的内部文档,通过社会工程学手段获取内部员工的访问权限……然后登录系统进行横向移动。

几年前发生过这种情况,并造成了如此多的问题,以至于CSRB最终发布了一份优秀的报告(链接如上)。在各种逮捕之后,活动基本上停止了。不幸的是,似乎许多组织还没有跟上这个问题,活动又回来了。

关键是:如果你的内部员工可以在被发现之前变节并造成重大损害,那么当外部电子犯罪集团"变成"员工时,你就会遇到严重问题。因此,你需要阻止他们通过Microsoft 365、VPN和虚拟桌面系统获得访问权限——和/或能够检测到账户变节。

管理重大事件

我建议组织,特别是受害者,确保他们精通事件管理和网络危机沟通。在网络领域,通常最好对客户超级透明,而不是试图隐藏或最小化事情——特别是当你有一个活跃的威胁行为者以这种方式存在时,因为被逮个正着的可能性很大。

防御者的行动

我强烈建议英国高街组织加强这六个支柱:

  1. 服务台应适当审查寻求MFA帮助的电话,包括重置令牌或设备。来电者可能有优雅的口音,并且擅长商务休闲。教育你的服务台。

  2. 员工不应提供MFA详细信息,或在移动设备的MFA应用程序中输入数字。他们也不应批准他们未发起的MFA提示。广泛传达这一点。

  3. 组织应存储日志以供在Microsoft 365(SharePoint搜索)、Confluence、JIRA和其他各种文档存储中搜索。监控人们搜索关于远程访问解决方案、虚拟化平台等的文档。

  4. 如果你怀疑用户账户被盗用,锁定他们的AD账户并重置他们的Azure AD会话令牌,否则无论密码如何更改,他们都将保留在Microsoft 365中的访问权限。

  5. 教育用户在Teams聊天中确认身份——例如,打电话确认他们是真人,不要在随机的Teams聊天中分享秘密(例如密码和系统信息)。

  6. 监控防火墙日志,查找大量数据出站到异常IP地址的迹象。例如,如果出站IP 1.2.3.4某天突然出现1tb数据的峰值——你应该知道。

进一步更新

我正在为这个事件维护各种线程,因为DragonForce向彭博社声称将有更多针对更多零售商的攻击,所以我创建了一个超级线程:

小更新

威胁行为者告诉BBC,他们希望被称为Raymond Reddington和Dembe Zuma..嗯,好吧,笑死:

Bleeping Computer在这里查看了Co-op违规事件:

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次