Scattered Spider: Angriff auf CFO-Konten enthüllt Schwachstellen in der Unternehmenssicherheit

LONDON (IT BOLTWISE) – Ein kürzlich aufgedeckter Cyberangriff auf ein ungenanntes Unternehmen zeigt, wie gefährlich gezielte Angriffe auf Führungskräfte sein können. Die Hackergruppe Scattered Spider nutzte die Zugangsdaten des Chief Financial Officers (CFO), um eine umfassende Attacke zu starten.

Die jüngsten Ereignisse rund um die Hackergruppe Scattered Spider verdeutlichen die Gefahren, die von gezielten Angriffen auf Führungskräfte ausgehen. Die Gruppe, bekannt für ihre sozialen Manipulationstechniken, hat es geschafft, die Zugangsdaten eines CFO zu erlangen und damit eine massive Sicherheitsverletzung in einem ungenannten Unternehmen zu verursachen. Diese Vorfälle werfen ein Licht auf die Schwächen in der Sicherheitsinfrastruktur vieler Unternehmen.

Der Angriff begann mit der Beschaffung der Anmeldedaten des CFO für das Oracle Cloud-Portal des Unternehmens. Obwohl die genauen Methoden, mit denen die Hacker an diese Informationen gelangten, unklar bleiben, ist bekannt, dass Scattered Spider in der Vergangenheit auf Tippfehler-Domains zurückgegriffen hat, um Anmeldedaten zu erbeuten. Die Hacker führten zudem eine umfassende Erkundung durch, um weitere sensible Informationen zu sammeln.

Am ersten Tag des Angriffs scheiterten die Hacker zunächst an der Multifaktor-Authentifizierung. Doch bereits am zweiten Tag gelang es ihnen, die IT-Hotline des Unternehmens zu täuschen und die Zugangsdaten des CFO zurückzusetzen. Mit diesen erweiterten Rechten konnten sie sich Zugang zu weiteren privilegierten Konten verschaffen und begannen, die Infrastruktur des Unternehmens zu kartieren.

Besonders alarmierend ist die Fähigkeit der Hacker, Schwächen in virtuellen Umgebungen auszunutzen. Sie zielten auf die VMware Horizon Virtual Desktop Infrastructure ab und konnten durch geschickte soziale Manipulation weitere Zugangsdaten erlangen. Diese Kombination aus VDI- und VPN-Zugriff ermöglichte es ihnen, sich lateral im Netzwerk zu bewegen und schließlich die Kontrolle über die virtuelle Umgebung zu übernehmen.

Mit dem Zugriff auf die VMware vCenter-Plattform konnten die Hacker dekommissionierte virtuelle Maschinen wiederherstellen und neue erstellen. Sie extrahierten sensible Daten, darunter ein NTDS.dit-File mit privilegierten Kontoanmeldedaten. Diese Aktionen blieben weitgehend unentdeckt, da sie in virtuellen Instanzen ohne EDR-Sichtbarkeit stattfanden.

Der Angriff erreichte seinen Höhepunkt, als die Hacker Zugang zu den CyberArk Privileged Access Management (PAM) Tresoren erhielten und über 1.400 Geheimnisse erbeuteten. Diese schnelle Extraktion deutet darauf hin, dass Scattered Spider zunehmend auf automatisierte Angriffe setzt. Die erlangten Informationen ermöglichten es ihnen, weitere Rollen zu kompromittieren, darunter die eines Microsoft Exchange Administrators.

Am dritten Tag des Angriffs eskalierte die Situation weiter, als die Hacker kritische Datenbankanwendungen angriffen und die Kontrolle über den Entra ID Tenant des Unternehmens erlangten. Trotz der Bemühungen des Sicherheitsteams, die Bedrohung einzudämmen, konnten die Hacker ihre Zugriffe schnell wiederherstellen und die Incident-Response-Maßnahmen behindern.

Am vierten Tag entwickelte sich ein regelrechtes Katz-und-Maus-Spiel zwischen den Hackern und dem Incident-Response-Team, das schließlich mit der Unterstützung von Microsoft die Kontrolle über die Systeme zurückerlangte. Diese Ereignisse zeigen, wie wichtig es ist, robuste Sicherheitsmaßnahmen zu implementieren und die Identitätsüberprüfung zu stärken, um ähnliche Angriffe in Zukunft zu verhindern.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!