Nel corso dell’ultimo anno abbiamo assistito a un forte aumento delle minacce cross-domain. Questa attività si estende su più domini all’interno dell’architettura IT di un’organizzazione, tra cui identità, cloud ed endpoint. Gli attacchi lasciano impronte minime in ogni dominio, come pezzi di puzzle separati, rendendoli più difficili da rilevare.

Sebbene le intrusioni cross-domain varino in termini di complessità, si osservano sempre più spesso attacchi che sfruttano credenziali rubate per compromettere ambienti cloud e spostarsi lateralmente tra gli endpoint. Questa attività è alimentata da sofisticate tecniche di phishing e dalla proliferazione degli infostealer.

Una volta che gli avversari ottengono o rubano le credenziali, possono ottenere l’accesso diretto ad ambienti cloud mal configurati e bypassare gli endpoint pesantemente difesi. Con questo accesso, spesso utilizzano strumenti di monitoraggio e gestione remota (RMM) invece di malware, rendendo gli attacchi particolarmente difficili da rilevare e interrompere.

Scattered Spider: un maestro dell’astuzia cross-domain

Uno degli avversari più abili negli attacchi cross-domain è il prolifico gruppo di eCrime Scattered Spider. Per tutto il 2023 e il 2024, Scattered Spider ha perpetrato sofisticati attacchi cross-domain all’interno di ambienti cloud mirati, spesso utilizzando spear-phishing, modifica dei criteri e accesso ai gestori di password.

Nel maggio 2024, è stata osservata una variante di Scattered Spider stabilire un punto d’appoggio su un’istanza di macchina virtuale (VM) ospitata nel cloud tramite un agente di gestione della VM del servizio cloud.

L’avversario ha compromesso le credenziali esistenti attraverso una campagna di phishing per autenticarsi al piano di controllo del cloud. Una volta entrati, hanno stabilito la persistenza.

L’attacco ha interessato tre domini operativi: e-mail, gestione del cloud e all’interno della stessa macchina virtuale. Di conseguenza, l’impronta rilevabile in ogni singolo dominio era minima e difficile da identificare con i metodi di rilevamento tradizionali signature-based.

L’identificazione di questo attacco si è basata su un’ampia intelligence sulle minacce e sulla conoscenza preliminare delle tattiche di Scattered Spider. Correlando la telemetria del piano di controllo del cloud con i rilevamenti all’interno della macchina virtuale, i threat hunters sono stati in grado di riconoscere e bloccare l’intrusione in corso.

Un enorme piano di infiltrazione: DPRK’s Famous Chollima

L’avversario della Corea del Nord Famous Chollima ha rappresentato una sfida unica per i threat hunters con una campagna di attacco altamente sofisticata che si è estesa oltre i confini della tecnologia.

In questo massiccio schema di insider threat, gli attori malintenzionati hanno ottenuto posizioni a contratto o a tempo pieno utilizzando documenti d’identità falsificati o rubati per eludere i controlli sul background. I loro curricula elencavano spesso impieghi presso aziende importanti, senza lacune, facendoli apparire legittimi.

Nell’aprile del 2024, CrowdStrike ha risposto al primo di diversi incidenti in cui Famous Chollima ha preso di mira oltre 30 aziende con sede negli Stati Uniti, tra cui alcune appartenenti ai settori aerospaziale, difesa, vendita al dettaglio e tecnologia.

Sfruttando i dati di un singolo incidente, i threat hunters hanno sviluppato un piano scalabile per dare la caccia a questa minaccia insider emergente e hanno identificato oltre 30 altri clienti colpiti nel giro di due giorni.

In molti casi, l’avversario ha tentato di esfiltrare i dati e di installare strumenti RMM utilizzando le credenziali della rete aziendale per facilitare l’accesso non autorizzato. I threat hunters hanno cercato strumenti RMM abbinati a connessioni di rete sospette per scoprire ulteriori dati e identificare comportamenti sospetti.

A metà del 2024, il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha incriminato diverse persone coinvolte in questo schema, che probabilmente ha permesso ai nordcoreani di raccogliere fondi per il governo della RPDC e i suoi programmi di armamento.

Mettere insieme i pezzi del puzzle: fermare gli attacchi cross-domain

Contrastare le sofisticate minacce cross-domain richiede una costante consapevolezza dei cambiamenti comportamentali e operativi, rendendo essenziale la caccia guidata dall’intelligence. Per bloccare questi nuovi attacchi è necessario un approccio su più fronti che coinvolga persone, processi e tecnologia.

Si consiglia, quindi, alle organizzazioni di adottare i seguenti provvedimenti:

1. Visibilità completa: la visibilità unificata in tutta l’azienda (cloud, endpoint e identità) è essenziale per rilevare e correlare gli attacchi cross-domain. Questo approccio impedisce agli avversari di muoversi lateralmente negli ambienti, migliora i tempi di risposta e riduce la probabilità che gli incidenti si trasformino in compromissioni.
2. Integrare la caccia interdominio: i threat hunters in tempo reale, 24 ore su 24, 7 giorni su 7, possono cercare in modo proattivo comportamenti dannosi su tutti i piani di sicurezza. Monitorando continuamente l’attività dei dipendenti, possono rilevare le deviazioni dal comportamento normale, come l’uso anomalo degli strumenti RMM.
3. Focus sull’identità: l’identità è uno dei vettori di minacce in più rapida crescita. Per ridurre i rischi, le aziende devono implementare processi avanzati di verifica dell’identità, come l’autenticazione a più fattori e la verifica biometrica. Oltre a stabilire procedure di autenticazione forti, è necessario implementare la protezione dell’identità per individuare eventi di autenticazione anomali prima che si trasformino in una compromissione.

Conclusioni

In un’epoca di attacchi cross-domain sempre più sofisticati, affidarsi esclusivamente a soluzioni automatizzate non è sufficiente.

Poiché queste minacce furtive operano attraverso l’identità, il cloud e gli endpoint, richiedono un mix di tecnologia avanzata, le insostituibili intuizioni dell’esperienza umana e la telemetria all’avanguardia per informare il processo decisionale proattivo.

I threat hunters e gli intelligence analiysts, che lavorano in tandem con strumenti all’avanguardia, sono essenziali per identificare, comprendere e neutralizzare questi pericoli in continua evoluzione prima che possano causare danni.