Wie Scattered Spider den britischen Einzelhandel infiltrierte

Die Hackergruppe Scattered Spider agiert immer offensiver – nun auch im Umfeld des DragonForce-Ransomware-Netzwerks. Hinweise deuten auf eine enge Zusammenarbeit hin, die britische Einzelhändler ins Visier nahm und die Cyberabwehr vor neue Herausforderungen stellt.

Vom Outsourcing zum organisierten Cybercrime

Scattered Spider – auch bekannt unter Aliasnamen wie Roasting 0ktapus oder Scatter Swine – war ursprünglich auf Telekommunikationsfirmen und Outsourcing-Dienstleister fokussiert. Doch seit 2022 entwickelt sich die Gruppe zu einem der aggressivsten Access Broker im Untergrund. Heute ist sie fester Bestandteil eines komplexen Affiliate-Modells innerhalb des DragonForce-Kartells – einem Netzwerk, das Ransomware entwickelt, verbreitet und über Mittelsmänner wie Scattered Spider gezielt Unternehmen angreift.

Drahtzieher im Hintergrund: Rolle im DragonForce-Netzwerk

Obwohl DragonForce die Verantwortung für mehrere Ransomware-Angriffe im britischen Einzelhandel übernommen hat, verdichten sich die Hinweise, dass Scattered Spider die Vorarbeit geleistet hat. Ihre typischen Angriffsmuster – etwa Cloud-basierte Infiltration, Social Engineering und der Missbrauch von Benutzeridentitäten – stimmen mit den aktuellen Vorfällen überein. Besonders auffällig: Die Gruppe agiert häufig ohne direkten „Branding“-Bezug und nutzt White-Label-Infrastrukturen, die eine Zuordnung erschweren.

Bekanntes Arsenal, neue Ziele

Die Hacker setzen weiterhin auf eine Kombination aus Social Engineering, Phishing (über Telegram, SMS oder Voice Calls), SIM-Swapping und der Manipulation von Multi-Faktor-Authentifizierungen. Eine häufig genutzte Masche: Das Vortäuschen von IT-Support-Mitarbeitern, um Zugangsdaten oder Fernzugriff zu erhalten.

Frühere Kampagnen, etwa im Zusammenhang mit BlackCat-Ransomware, haben gezeigt, dass Scattered Spider über umfangreiche Kenntnisse in der Nutzung bösartiger Kernel-Treiber und Windows-Schwachstellen verfügt – inklusive signierter Treiber wie POORTRY und Tools wie STONESTOP.

Angriffsmuster und Werkzeuge im Detail

Scattered Spider nutzt bewährte Werkzeuge und Lücken zur Eskalation und Persistenz:

• Sicherheitslücken wie CVE-2015-2291 im Intel-Ethernet-Treiber zur Ausführung von Kernel-Code
• CVE-2021-35464 zur Remote-Code-Ausführung auf AWS-Instanzen via ForgeRock OpenAM
• Remote-Zugriffstools wie AnyDesk, LogMeIn und ConnectWise Control
• Kommerzielle Proxies (z. B. NSOCKS, TrueSocks) zur Verschleierung der Herkunft
• Malware: RATs wie RattyRAT, Tools zur Privilegien-Eskalation und zum Credential Dumping
• Exfiltration über Dienste wie MEGAsync, DropBox oder transfer[.]sh
• Zielplattformen: Windows, Linux, Azure AD, Microsoft 365, AWS, VMware ESXi

Techniken von Scattered Spider

Das Vorgehen in den verschiedenen Angriffen ähnelt sich und daher lässt sich anhand des Musters eine Verbindung zum aktuellen Angriff in Großbritannien ziehen.

Schema eines kürzlich erfolgten Angriffs:

• Sammeln von Mobiltelefonnummern von Mitarbeitern aus kommerziell verfügbaren Datenaggregationsdiensten.
• Phishing-Angriffe auf bestimmte Mitarbeiter, einschließlich Smishing und Voice Phishing.
• Anmeldedaten über gezielte Phishing-Seiten erlangen.
• Weiterleitung von Einmalpasswörtern (OTP) über Phishing-Seiten.
• Verteilung des kommerziellen RMM-Tools AnyDesk.
• Verwendung von anonymisierenden Proxy-Diensten.
• Übernahme von Benutzerkonten.
• Durchführung weiterer Smishing-Angriffe gegen Personen aus dem Technologie-/Telekommunikationsbereich mit Verbindungen zu Krypto-Währungen.

Schema eines Angriffs im Dezember 2022:

• Sammeln der Mobiltelefonnummern von Mitarbeitern.
• Angriff auf Mitarbeiter mit Phishing, einschließlich Smishing, Telegram-Nachrichten und Telefonanrufen.
• Vortäuschen der Identität von IT-Mitarbeitern für Phishing-Angriffe.
• Zugriff auf Azure-Konten mithilfe gestohlener Anmeldedaten.
• Ausnutzen einer CVE-Sicherheitslücke im ForgeRock OpenAM-Anwendungsserver.
• Verbreitung verschiedener RMM-Tools.
• Aufrechterhaltung der Zugriffsrechte mithilfe von VPN-Zugängen, Diebstahl von AWS-Schlüsseln und Manipulation von IAM.
• Ausnutzen der BYOD-Technik (Bring Your Own Vulnerable Driver), um die Endpunktsicherheit zu umgehen.
• Einsatz des Remote-Access-Trojaners (RAT) RattyRAT.
• Durchführung weiterer Smishing-Angriffe.
• Erlangung von Zugriff auf Mobilfunknetz- und SIM-Karteninformationen.
• Exfiltration von Daten mithilfe von transfer[.]sh.
• Durchführung von SIM-Swapping.

Schema eines Angriffs im September 2023:

• Kauf gestohlener Anmeldedaten auf dem Markt für Cyber-Kriminelle.
• Sammeln von Mobiltelefonnummern von Mitarbeitern.
• Angriff auf Mitarbeiter mit Phishing, einschließlich Smishing und Telefonanrufen.
• Einsatz von Social Engineering über das Telefon.
• Nutzung von MFA-Bombin.
• Durchführung von SIM-Swapping.
• Nutzung der kommerziellen Proxy-Dienste NSOCKS und TrueSocks.
• Verteilung verschiedener RMM-Tools.
• Erstellung öffentlich zugänglicher virtueller Maschinen in den Umgebungen der Opfer.
• Einsatz von handelsüblicher Malware (Infostealer, Aufklärung, Privilege Escalation).
• Angriff auf VMware vCenters-Server mithilfe des Open-Source-Rootkits „bedevil Linux“.
• Erlangung von Privilegien durch Zurücksetzen von Passwörtern oder Ändern der Multi-Faktor-Authentifizierung (MFA).
• Aufklärung und Dumping von Anmeldedaten mithilfe öffentlicher Tools.
• Auflistung der internen Dokumentation und Ressourcen.
• Erlangung von Privilegien durch Angriff auf Passwortmanager oder IAM.
• Deaktivierung von Sicherheitsprodukten.
• Exfiltration von Daten mithilfe von Rclone, MEGAsync, FileZilla oder DropBox.
• Löschung von Schattenkopien, Deaktivierung von Sicherheitstools.
• Einsatz der Ransomware BlackCat.
• Aggressive Kommunikation mit den Opfern zur Überredung.

Schema der Angriffe am 4. und 5. Oktober sowie November 2023:

• Kauf gestohlener Anmeldedaten auf dem Markt für Cyber-Kriminelle.
• Angriffe auf Mitarbeiter mittels Phishing, einschließlich Smishing und Telefonanrufen.
• Erlangung von Anmeldedaten über gezielte AiTM-Phishing-Seiten.
• Einsatz von Social Engineering über das Telefon.
• Verteilung verschiedener RMM-Tools.
• Verwendung von Reverse Shells.
• Einsatz von handelsüblicher Malware (Infostealer, Aufklärung, Privilege Escalation).
• Angriff auf VMware vCenters-Server mithilfe des Open-Source-Rootkits „bedevil Linux“.
• Erlangung von Privilegien durch Zurücksetzen von Passwörtern oder Ändern der Multi-Faktor-Authentifizierung (MFA).
• Erkundung und Dumping von Anmeldedaten mithilfe öffentlicher Tools.
• Auflistung der internen Dokumentation und Ressourcen.
• Deaktivierung von Sicherheitsprodukten.
• Änderung der Mailbox-Regeln, um E-Mails von Sicherheitsanbietern zu löschen und E-Mails zu stehlen.
• Exfiltration von Daten mithilfe von MEGAsync, Gofile, shz[.]al, Storj, Temp[.]sh, Paste[.]ee, Backblaze und AWS S3-Buckets.
• Einsatz der Ransomware BlackCat.
• Aggressive Kommunikation mit den Opfern zur Überredung.

Bedrohung mit System

Scattered Spider steht exemplarisch für die Professionalisierung und Kommerzialisierung des Cybercrime-Sektors. Die Gruppen agieren arbeitsteilig, hochspezialisiert und auf maximale Wirkung ausgerichtet. Die Angriffe auf britische Einzelhändler sind dabei kein Einzelfall, sondern Ausdruck eines global vernetzten Ransomware-Modells, in dem Scattered Spider eine zentrale Rolle als Türöffner spielt.

Fazit: Höchste Alarmstufe im Einzelhandel

Die enge Verbindung zwischen Scattered Spider und DragonForce markiert eine neue Eskalationsstufe im Cybercrime-Geschäftsmodell. Besonders beunruhigend: Die Gruppe verfügt über tiefgehende Kenntnisse in Unternehmensinfrastrukturen und nutzt legitime Tools auf perfide Weise – ein Albtraum für jede Sicherheitsarchitektur.

Weitere Informationen:

Alles Details und die entsprechenden IOCs, CVEs und TTPs finden Sie im Check Point Blog.

Ausführliche technische Informationen über Angriffsweise und Methoden finden Sie hier.

(vp/Check Point Software Technologies Ltd.)