[datensicherheit.de, 19.09.2023] Die „Unit 42“, das Malware-Forschungsteam bei Palo Alto Networks, hat neue Erkenntnisse zur Cyber-Kriminellen-Gruppe „Muddled Libra“ veröffentlicht. Die Hacker stecken demnach offensichtlich hinter einem der „spektakulärsten Cyber-Angriffe in den USA“, welcher den Betrieb mehrerer Casinos und Hotels in Las Vegas zum Erliegen brachte. „Laut Medienberichten hatten die Mitglieder der Gruppe bereits im vergangenen Jahr auch andere große Unternehmen angegriffen, indem sie sich durch Gespräche Zugang zu Netzwerken verschafft hatten.“ Die Forscher der „Unit 42“ gehen nach eigenen Angaben davon aus, dass die Mitglieder von „Muddled Libra“ englische Muttersprachler sind, was es ihnen erleichtere, ihre Social-Engineering-Angriffe durchzuführen. Die beobachteten Angriffsziele dieser Cyber-Kriminellen schienen sich aktuell noch hauptsächlich auf die USA zu konzentrieren.

Muddled Libra agiert an Schnittstelle zwischen Social Engineering und Technologieanpassung

MGM Resorts, Betreiber vieler der beliebtesten Casinos und Hotels in Las Vegas (darunter das „Bellagio“), sei immer noch damit beschäftigt, die Folgen des Angriffs zu beheben. „Hacker hatten Anfang vergangener Woche den Betrieb erheblich gestört, was zu Schließungen in den Casinos führte. Hotelgäste waren nicht in der Lage, ihre Zimmer mit Schlüsselkarten zu betreten. MGM-Mitarbeiter konnten am Freitagmorgen immer noch nicht auf ihre Firmen-E-Mails zugreifen.“ Am Nachmittag der 15.September 2023 habe MGM mitgeteilt, dass zwar einige Systeme noch immer von dem Angriff betroffen seien, die überwiegende Mehrheit der Hotels jedoch den Betrieb wiederaufgenommen habe.

„Muddled Libra“ agiere an der Schnittstelle zwischen listigem „Social Engineering“ und geschickter Technologieanpassung. Diese Bedrohungsgruppe sei mit Business-IT bestens vertraut und stelle selbst für Unternehmen mit gut ausgebauter Cyber-Abwehr ein erhebliches Risiko dar. Die Forscher und „Incident Responder“ der „Unit 42“ hätten mehr als ein halbes Dutzend zusammenhängender, „Muddled Libra“ zuzuordnender Vorfälle von Mitte 2022 bis Anfang 2023 untersucht. Die Bedrohungsgruppe ziele bevorzugt auf solche großen Outsourcing-Firmen ab, welche hochwertige Krypto-Währungsinstitutionen und Einzelpersonen bedienen. Die Bekämpfung von „Muddled Libra“ erfordere eine Kombination aus strengen Sicherheitskontrollen, sorgfältigen Schulungen des Sicherheitsbewusstseins und aufmerksamer Überwachung.

Wechselnde Taktiken von Muddled Libra gehen oft fließend ineinander über

Seit dem 15. September 2023 sei die „Unit 42“ an der Aufklärung von mehreren weiteren Fällen beteiligt, die „Muddled Libra“ zugeschrieben werden. Die Forscher hätten zusätzliche, von dieser Gruppe eingesetzte Methoden beobachtet. „Die wechselnden Taktiken von ,Muddled Libra’ gehen oft fließend ineinander über und passen sich schnell an die Zielumgebung an.“ Primäre Taktik sei nach wie vor auf den IT-Support eines Unternehmens abzielendes „Social Engineering“.

„In nur wenigen Minuten gelang es den Angreifern beispielsweise, ein Konto-Passwort zu ändern und später die Multi-Faktor-Authentifizierung des Opfers zurückzusetzen, um sich Zugang zu den Netzwerken zu verschaffen.“ Eine auffällige Veränderung der Taktiken, Techniken und Verfahren sei die starke Nutzung von anonymisierenden Proxy-Diensten. Die Angreifer nutzten diese Proxy-Dienste, „um ihre IP-Adressen zu verschleiern und den Anschein zu erwecken, dass sie sich in einem lokalen geografischen Gebiet befinden“.

Weitere Informationen zum Thema:

CYBERSECURITAY DIVE, David Jones, 18.09.2023
MGM, Caesars attacks raise new concerns about social engineering tactics / Multiple threat groups have employed the same criminal tool kit to target vulnerable systems.

CyberWire, now N2K Cyber auf YouTube, 02.09.2023
Thwarting Muddled Libra

UNIT 42, Kristopher Russo & Austin Dever & Amer Elsad, 21.06.2023
Threat Group Assessment: Muddled Libra (Updated)

Phishing-Fokus auf Business-Process-Outsourcing-Branche

[datensicherheit.de, 22.06.2023] Die „Unit 42“ der Palo Alto Networks hat am 21. Juni 2023 einen Report über eine aktive Gruppe Cyber-Krimineller veröffentlicht: „Muddled Libra“ (auch „0ktapus“, „Scattered Spider“ bzw. „Scatter Swine“) nutzt nutzt demnach Phishing für Attacken. Mehr als ein halbes Dutzend Cyber-Angriffe dieser Gruppe sei darin eingeflossen. Da das „0ktapus“-Phishing-Kit als sogenannte Open Source verfügbar sei, gebe es viele Überschneidungen mit anderen Gruppen, die dieses verwendeten. Da nicht alle Angreifer, die „0ktapus“ verwenden, „Muddled Libra“ sind, hat die „Unit 42“ die Gruppe „Muddled Libra“ nach eigenen Angaben mit den folgenden Merkmalen klassifiziert:

• Verwendung des „0ktapus“-Phishing-Kits
• hartnäckige Ausrichtung auf die „Business Process Outsourcing“-Branche (BPO)
• langfristige Hartnäckigkeit
• nicht-destruktive Präsenz
• Datendiebstahl
• Nutzung der kompromittierten Infrastruktur für nachgelagerte Angriffe

Abbildung: Palo Alto Networks

„UNIT 42“ warnt vor „Muddled Libra“

BPO-Firmen im Dienste hochrangige Privatpersonen und Krypto-Währungsinstitute im Phishing-Visier

„Muddled Libra“ habe sich auf große BPO-Firmen konzentriert, welche in der Regel hochrangige Privatpersonen und Krypto-Währungsinstitute bedienten. Sie hätten schnell Informationen über nachgelagerte Kundenumgebungen gesucht und gestohlen und diese dann genutzt, um in diese Umgebungen einzudringen.

„Sie haben bewiesen, dass sie die hochrangigen Kunden ihrer Opfer gut kennen und wissen, welche Informationen für Folgeangriffe am nützlichsten wären.“

Muddled Libra verfügt über ungewöhnlich umfangreiches Phishing-Angriffsinstrumentarium

Ausgehend von der Analyse der Ermittlungen der „Unit 42“ zu „Muddled Libra“ verfüge diese Gruppe über ein ungewöhnlich umfangreiches Angriffsinstrumentarium:

Ihr Arsenal reiche von praktischen Social-Engineering- und sogenannten Smishing-Angriffen (Phishing per SMS) bis hin zur Beherrschung von Nischen-Tools für Penetrationstests und Forensik, was dieser Bedrohungsgruppe selbst gegenüber einem robusten und modernen Cyber-Abwehrplan einen Vorteil verschaffe.

Ende 2022 Veröffentlichung des Phishing-Kits 0ktapus

Der „Muddled Libra“-Angriffsstil sei Ende 2022 auf dem Radar der Cyber-Sicherheit mit der Veröffentlichung des Phishing-Kits „0ktapus“ erschienen, welches ein vorgefertigtes Hosting-Framework und gebündelte Vorlagen geboten habe. Mit einer großen Anzahl realistischer gefälschter Authentifizierungsportale und gezieltem Smishing hätten die Angreifer schnell Anmeldedaten und Codes für die Multifaktor-Authentifizierung (MFA) sammeln können.

„Die Geschwindigkeit und das Ausmaß dieser Angriffe haben viele Verteidiger überrascht. Smishing ist zwar nicht neu, aber das ,0ktapus’-Framework hat die Einrichtung einer normalerweise komplexen Infrastruktur so vereinfacht, dass selbst wenig erfahrene Angreifer eine hohe Erfolgsquote erzielen konnten.“

Mehrere Phishing-Akteure, welche gemeinsames Toolkit verwenden

Zu diesen Funktionen gehörten vorgefertigte Vorlagen und ein eingebauter C2-Kanal über „Telegram“, und das alles für einen Preis von nur wenigen hundert US-Dollar. Diese Verbesserung der Funktionalität habe dazu geführt, dass Cyber-Kriminelle eine massive Angriffskampagne gestartet hätten, welche sich gegen eine Vielzahl von Organisationen gerichtet habe.

„Die schiere Anzahl der Ziele, die mit diesem Kit angegriffen wurden, hat in der Forschungsgemeinschaft zu einer gewissen Verwirrung bei der Zuordnung dieser Angriffe geführt.“ Frühere Berichte von „Group-IB“, „CrowdStrike“ und „Okta“ hätten viele dieser Angriffe dokumentiert und den folgenden Angreifer-Gruppen zugeordnet: „0ktapus“, „Scattered Spider“ und „Scatter Swine“. Während diese in den Medien als drei Namen für eine Gruppe behandelt worden seien, handele es sich in Wirklichkeit wahrscheinlich um mehrere Akteure, welche ein gemeinsames Toolkit verwendeten. „Muddled Libra“ sei eine Untergruppe dieser Akteure.

Schlussfolgerung und Abhilfemaßnahmen gegen Phishing

„Muddled Libra“ sei ein methodischer Angreifer, welcher eine erhebliche Bedrohung für Unternehmen in den Bereichen Softwareautomatisierung, BPO, Telekommunikation und Technologie darstelle. Dieser beherrsche eine Reihe von Sicherheitsdisziplinen und sei in der Lage, in relativ sicheren Umgebungen zu gedeihen und schnell verheerende Angriffsketten zu vollenden.

„,Muddled Libra’ bringt nichts Neues auf den Tisch, außer dem unheimlichen Talent, Schwachstellen mit verheerender Wirkung aneinanderzureihen.“ Die Verteidiger müssten modernste Technologie und umfassende Sicherheitshygiene sowie eine sorgfältige Überwachung externer Bedrohungen und interner Ereignisse miteinander kombinieren. Das hohe Risiko des Verlusts von internen und Kundendaten sei ein starker Anreiz für die Modernisierung von Informationssicherheitsprogrammen.

Weitere Informationen zum Thema:

UNIT 42, Kristopher Russo & Austin Dever & Amer Elsad, 21.06.2023
Threat Group Assessment: Muddled Libra