Peneliti dari Google Threat Intelligence Group (GTIG) berhasil mengidentifikasi campaign serangan siber terbaru dari grup Advanced Persistent Threat (APT) yakni UNC3944 / Scattered Spider. Grup ini dikenal memiliki motivasi finansial dan menargetkan beberapa sektor industri retail, penerbangan dan keuangan. Campaign terbaru dari grup tersebut mulai menargetkan infrastruktur VMware vSphere dengan taktik awal menggunakan social engineering. Memanfaatkan kebocoran data yang pernah terjadi sebelumnya, grup ini meluncurkan serangan social engineering terhadap Tim IT Helpdeks dengan berpura-pura sebagai karyawan dan meminta password reset akun Active Directory (AD) yang kemudian menggunakan pendekatan LotL (living-off-the-land) hingga pada akhirnya dapat mengambil alih administrator VMware vSphere.

1. Initial Compromise, Recon, and Escalation, Serangan social engineering terhadap Tim IT Helpdesk dari kebocoran data karyawan yang ada dan mendapatkan akun Active Directory (AD) karyawan melalui password reset. Saat fase Recon ditemukan dokumen prosedur VMware vSphere dan eskalasi melalui teknik net group ke grup ESX Admins.
   
2. The Pivot to vCenter - The Control Plane Compromise, Anggota grup ESX Admins memiliki privilege untuk login ke vSphere vCenter, dari situlah Scattered Spider meng-enable akses SSH dan meng-install Command & Control (C2).
3. The Hypervisor Heist - Offline Credential Theft and Exfiltration, Ditemukan sebuah Domain Controller VM Dimana Scattered Spider berhasil mencuri database NTDS.dit.
   
4. Backup Sabotage - Removing the Safety Net, Dengan hak akses penuh terhadap Domain Controller VM, Scattered Spider menemukan Security Group “Veeam Administrators”. Dari situlah mereka melakukan lateral movement, dan menghapus semua backup yang ada di Veeam.
5. Encryption - Ransomware from the Hypervisor, Berbekal akses SSH yang sudah di-enable sebelumnya, Scattered Spider meng-install Ransomware dan berhasil melakukan enkripsi terhadap seluruh file VM (.vmdk, .vmx)

1. Legitimate Tools Used
   

   - Fleetdeck.io	- Pulseway	- Tailscale
   - Level.io	- Screenconnect	- TeamViewer
   - Mimikatz	- Splashtop	- AnyDesk
   - Ngrok	- Tactical.RMM	- Teleport.sh

   
   
2. Malware Used by Scattered Spider
   

   - AveMaria/WarZone	- VIDAR Stealer	- DragonForce Ransomware
   - Raccoon Stealer	- RattyRAT

   
   
3. Domains Used by Scattered Spider Threat Actors
   

   - targetsname-sso[.]com	- targetsname-cms[.]com
   - targetsname-servicedesk[.]com	- targetsname-helpdesk[.]com
   - targetsname-okta[.]com	- oktalogin-targetcompany[.]com

   
   

1. Proactive Hardening: Aktifkan vSphere lockdown mode, Aktifkan vSphere posture management dan Gunakan enkripsi pada vSphere VM
2. Identity and Architectural Integrity: Gunakan MFA pada setiap akun, Apabila menggunakan critical identity infra seperti Veeam dan PAM agar dilakukan segregasi dari workload biasa dan Bisa menggunakan solusi cloud identity providers untuk mencegah compromise secara menyeluruh.
3. Advanced Detection and Recovery: Pastikan untuk mengirim semua log critical ke SIEM, Pelajari/korelasi log-log tersebut dan melakukan attack simulation untuk mengetahui kesiapan Ketika terjadi cyberattack.