📌 Áttekintés
A világ több vezető kiberbiztonsági hatósága – köztük az FBI, CISA, RCMP, ACSC és a brit NCSC – sürgős közös kiberbiztonsági figyelmeztetést adott ki a Scattered Spider néven ismert fenyegető csoport legutóbbi tevékenysége miatt.
Ez a támadócsoport – más néven: UNC3944, Octo Tempest, Star Fraud, Muddled Libra – aktívan támadja a kereskedelmi létesítmények ágazatait, valamint más létfontosságú kritikus infrastruktúrákat. A frissített jelentés részletesen ismerteti az újonnan azonosított taktikákat, technikákat és eljárásokat (TTP-k).
🎯 Főbb célpontok
- 🎰 Kaszinó- és szállodaipar (pl. MGM Resorts, Caesars Entertainment)
- 💳 Pénzügyi intézmények (Visa, PNC, Synchrony, New York Life)
- 🧾 Technológiai szolgáltatók (Twilio, Snowflake, Ticketmaster)
- 🔌 Távközlési szolgáltatók
- 🏢 Nagyvállalati help desk szolgáltatások
🕵️♂️ Alkalmazott módszerek (TTPs)
| Technika | Leírás |
|---|---|
| 🗣️ Help Desk megszemélyesítés | LinkedIn profil alapján célzott támadás: jelszó- vagy MFA reset kérése telefonon/chat-en |
| 📱 SIM swap | Telefonszám átvétel az SMS-alapú MFA megkerülésére |
| 📧 Phishing / Smishing / Vishing | Hamis okta, sso, internal, corp domainek használata |
| 💣 Double Extortion | Adatlopás + titkosítás, zsarolás publikálással |
| 🔐 AD kompromittálás | NTDS.dit, DCSync, Mimikatz, secretsdump.py |
| 🛠️ Távoli hozzáférés | AnyDesk, RDP, PsExec, Scheduled Tasks |
| 🪟 Cloud platform manipuláció | Azure / Google Workspace / AWS API-használat |
| 🧩 Perzisztencia | RMM eszközök memória-alapú betöltése (AnyDesk, TeamViewer stb.) |
🚨 2025. július 29-i frissítés tartalma
A jelen tanácsadó a 2023. novemberi első verzió kiterjesztett, jelentősen frissített változata:
- Új társított malware: DragonForce Ransomware-as-a-Service (RaaS) bevezetése
- Fejlettebb social engineering technikák: például MFA fárasztás, valós idejű vishing + LinkedIn kombináció
- Nemzetközi terjedés: USA, UK, Kanada, Ausztrália – aktív célpontok
🧬 Eredet és fejlődés
- 📆 2022 május: első észlelés, távközlési szektor elleni támadások
- 🔧 SIM swap, MFA fárasztás, social engineering
- 🔓 CVE-2015-2291 (Windows anti-DoS) kihasználása az antivírusok kiiktatására
- 🎰 2023 szeptember: MGM Resorts feltörése, ALPHV együttműködéssel
- 💸 Caesars Entertainment: 30 millió USD váltságdíj követelés – 15 milliót kifizettek
🧪 Védekezési javaslatok (Ajánlott a VantaCore moduljaiba integrálni)
🎯 Help Desk Védelem
- Kétlépcsős belső azonosítás minden jelszó/MFA resethez
- Help desk audit trail naplózása (Silent Aegis dokumentumcsomaggal együtt)
🔐 MFA erősítése
- Phishing-rezisztens MFA: YubiKey, QR-kód, hard token
- Push értesítés alapú MFA → tiltása vagy szám-azonosítóval megerősítve
🖥️ RMM és távoli hozzáférés kontroll
- Csak belső IP-ről elérhető RDP/VNC/SSH
- EDR figyelés memória-alapú RMM futtatásra
- Noquara modul: AnyDesk / TeamViewer / MeshCentral monitorozása
🛡️ AD védelem és naplózás
- NTDS.dit hozzáférés detektálása
- GPO módosítás figyelés
- AD-replikációs kérések (DCSync) naplózása
📉 Hatáscsökkentés
- Tűzfalakban alapértelmezett tiltás, csak engedélyezett címek
- Kritikus szerverek offline backup, rendszeres helyreállítási tesztelés
- Ügyfélkapcsolati rendszerek szegmentálása
📁 Scattered Spider alternatív elnevezések
- Star Fraud
- UNC3944
- Oktapus / Octo Tempest
- Scatter Swine
- Storm-0875
- Muddled Libra
👮♂️ Jelentés szerzői ügynökségek
- 🇺🇸 FBI (Federal Bureau of Investigation)
- 🇺🇸 CISA (Cybersecurity and Infrastructure Security Agency)
- 🇨🇦 RCMP és CCCS (Kanadai Királyi Lovasrendőrség + Kiberbiztonsági Központ)
- 🇦🇺 ACSC és AFP (Ausztrál Kiberbiztonsági Központ + Szövetségi Rendőrség)
- 🇬🇧 NCSC-UK (National Cyber Security Centre – UK)
📌 Ajánlás szervezeteknek
A kritikus infrastruktúrát és kereskedelmi létesítményeket üzemeltető szervezeteket haladéktalanul felszólítják, hogy hajtsák végre a tanácsban szereplő mitigációs javaslatokat, mivel az újabb támadási hullám már aktív szakaszban van.
