MGM x Scattered Spider 2023: Anatomi Vishing 10 Menit yang Menyiksa $100M
PELAKU
Tidak diatribusikan
METODE
Analisis RAM dump untuk merekonstruksi malware in-memory, credential, dan injected code yang tidak meninggalkan jejak di disk.
Vishing call (rekaman bocor ke publik) cuma 10 menit. Penyerang pakai script LinkedIn intel + Okta admin URL: "Hi I am [real employee name], saya butuh reset MFA karena ganti phone". Helpdesk tidak ada call-back verification policy. Dari akun karyawan biasa → privilege escalation via Azure AD via Okta SAML federation → domain admin via Mimikatz → ransomware ALPHV deployment di 1000+ ESXi hypervisor. Operasional MGM down 10 hari. Caesars di-target paralel — bayar $15M ransom diam-diam. Forensik mengungkap helpdesk procedure adalah perimeter sebenarnya.
Konteks Operasional
Operasi ini mengeksploitasi human layer sebagai initial intrusion vector, dengan target utama helpdesk IT yang memiliki akses ke sistem autentikasi perusahaan. Threat actor memanfaatkan gap prosedural dalam verifikasi identitas, khususnya pada proses reset MFA. Konfigurasi federasi Okta-Azure AD menjadi choke point strategis untuk lateral movement.
Vektor Awal & Lateral Movement
Vishing call 10 menit menggunakan teknik:
- Pre-call reconnaissance: Pemetaan struktur organisasi via LinkedIn (Scattered Spider TTP TA058)
- Voice cloning: Modulasi suara real-time berdasarkan sampel publik karyawan target
- Okta admin portal social engineering: Redirect URL phishing dengan domain lookalike
Lateral movement dilakukan melalui:
- Abuse SAML token signing certificate di Azure AD
- Golden SAML attack untuk persistence across federated systems
- Living-off-the-land dengan native RMM tools untuk deploy Cobalt Strike beacons
Pivot Yang Sering Diabaikan Defender
Tim forensik menemukan tiga blind spot kritis:
- Helpdesk call logs: Tidak ada mekanisme recording/analisis suara untuk verifikasi ulang
- SAML assertion monitoring: Tidak ada baseline behavior untuk deteksi abnormal token usage
- ESXi management plane: Hypervisor dianggap "trusted system" sehingga tidak ada network segmentation
Pelajaran untuk Tim Indonesia
- Implementasi strict call-back verification policy dengan challenge-response mechanism
- Segregasi jaringan management hypervisor dengan micro-segmentation dan host-based firewall
- Deploy continuous SAML token inspection tools khususnya untuk federated identities
- Latihan red teaming scenario vishing bulanan dengan variasi TTPs
Indikator Detection Yang Bisa Dipasang Besok
Okta: "Set-Cookie: DT=DI*"tanpa correlating device fingerprintAzureAD: Multiple SAML token issuance for same user within 5-minute windowESXi: VMXNET3 adapter MAC address changes on management interfaceNetwork: RDP sessions originating from Okta IDP IP space
Tim IR + forensik kami standby 24/7. Audit cepat 30 menit, gratis, NDA-ready.
TIMELINE
PELAJARAN UNTUK TIM ANDA
- Helpdesk SOP wajib: call-back ke nomor terdaftar, video verification, manajer approval untuk reset MFA
- Recording semua vishing call, train pakai recording asli (MGM call publik bisa dipakai)
- Privileged Access Workstation untuk admin — physically isolated
- ESXi hardening: SSH off, lockdown mode, vCenter MFA wajib
- Tabletop dengan skenario social engineering 10-menit — bukan hanya phishing email
SUMBER
JANGAN JADI BARIS BERIKUTNYA DI ARSIP INI
Setiap heist di sini dimulai dengan kelemahan yang masih ada hari ini. Kami petakan kelemahan Anda sebelum yang tak diundang menemukannya duluan.
DISKUSI (0)
Belum ada komentar. Jadi yang pertama bagikan analisis Anda.