电信和BPO公司受到SIM交换黑客的攻击

自2022年6月以来，一场持续不断的入侵活动至少将目光投向了电信和业务流程外包(BPO)公司。

CrowdStrike研究人员蒂姆·帕里西在上周发表的一份分析中表示：“这场活动的最终目标似乎是接入移动运营商网络，并进行SIM交换活动，这在两项调查中得到了证明”。

这家网络安全公司将这些出于经济动机的攻击归咎于一名被追踪为“分散的蜘蛛”的演员。

据称，对目标环境的初始访问是通过各种方法进行的，包括使用电话和通过Telegram发送的信息冒充IT人员的社会工程。

该技术可用于将受害者引导到凭据获取站点，或诱骗他们安装商业远程监控和管理（RMM）工具，如Zoho Assist和Getscreen.me。

如果目标账户通过双因素身份验证（2FA）得到保护，威胁行为人要么说服受害者共享一次性密码，要么采用一种称为即时轰炸的技术，该技术在最近的思科和优步违规事件中被使用。

在CrowdStrike观察到的另一个感染链中，对手使用之前通过未知方式获得的用户被盗凭据向组织的Azure租户进行认证。

另一个例子涉及利用ForgeRock OpenAM访问管理解决方案（CVE-221-35464）中的一个现成的关键远程代码执行漏洞，该漏洞去年受到了积极利用。

许多攻击还需要访问受危害实体的多因素身份验证（MFA）控制台，以注册他们自己的设备，并将其分配给先前已捕获凭据的用户。

这项技术允许Scattered Spider通过合法的远程访问工具（如AnyDesk、LogMeIn和ConnectWise Control（以前的ScreenConnect））建立更深层的持久性，以避免引发危险。

初始访问和持久化步骤之后，将对Windows、Linux、Google Workspace、Azure Active Directory、Microsoft 365和AWS环境进行侦察，并进行横向移动，同时在特定情况下下载其他工具以过滤VPN和MFA注册数据。

帕里西指出：“这些活动极其持续和厚颜无耻”。“一旦对手被遏制或行动中断，他们就会立即转移到电信和BPO部门的其他组织”。