logo ntadmins

Scattered Spider mischt den britischen Einzelhandel auf

16. Mai 2025
Red error sign glitch effect against binary code Digital tech concept, computer failure, system crash, software malfunction Cyber security alert message, IT crisis, data loss, system error
Quelle: Vadym, Adobe Stockphoto

Neue Details nach der Dragonforce-Sicherheitsforschung haben ergeben: Die Hacker-Bande entwickelt sich zu einem vielversprechenden Access Broker oder Kooperationspartner innerhalb des Affiliate-Modells von Dragonforce. Alles deutet auf ein Kartell hin.

Eine Analyse der Hacker-Gruppe Scattered Spider, die als Teil des Dragonforce-Ransomware-Kartells agiert, haben Experten von Checkpoint duchgeführt. Diese Gruppe hat sich zu einer Reihe von Angriffen auf britische Einzelhandelsunternehmen im April und Mai 2025 bekannt.

Während Dragonforce sich für Erpressung und Datenabfluss verantwortlich erklärte, deuten immer mehr Hinweise darauf hin, dass auch Scattered Spider eine grundlegende Rolle bei der Durchführung dieser Angriffe gespielt haben könnte. Scattered Spider ist bekannt für seine Schleuser-Methoden, die auf Cloud-Netzwerken basieren und sich an Benutzeridentitäten orientieren. Die Bande entwickelte sich somit zu einem potentiellen Access Broker oder Kooperationspartner innerhalb des Dragonforce-Affiliate-Modells.

Scattered Spider (auch bekannt als Roasting 0ktapus und Scatter Swine) ist ein finanziell motivierter Bedrohungsakteur und seit Mai 2022 aktiv. Die Gruppe konzentrierte sich in der Vergangenheit auf Telekommunikation und Business Process Outsourcing (BPO), hat sich jedoch angepasst und zielt nun auf einflussreiche Branchen ab, darunter kritische Infrastrukturen (KRITIS).

Scattered Spider hat sich zwar nicht öffentlich zu den Angriffen auf britische Einzelhandelsunternehmen bekannt, doch die bei diesen Vorfällen beobachtete Taktik für den ersten Zugriff, die Ausnutzung von Cloud-Diensten und die Social-Engineering-Techniken stimmen weitgehend mit dem bekannten Verhalten der Gruppe überein. Es scheint immer wahrscheinlicher, dass Scattered Spider an den ersten Angriffen beteiligt war, auf die dann die Verbreitung von Ransomware und Erpressung durch Dragonforce oder einen seiner Verbündeten folgte.

Dieses Bedrohungsmodell spiegelt einen allgemeinen Wandel im Ransomware-Ökosystem wider, in dem Angreifer, Malware-Entwickler und Erpresser ohne gemeinsame Markenzeichen zusammenarbeiten und häufig White-Label-Infrastrukturen nutzen.
Trotz dieser Verlagerung der Angriffsziele setzt Scattered Spider weiterhin auf eine Reihe von Social-Engineering-Taktiken für seine Angriffe. Dazu gehören Phishing über Telegram und SMS, SIM-Swapping, die Ausnutzung der Ermüdung von Leuten durch Multi-Faktor-Authentifizierung (MFA) und andere Strategien. Insbesondere hat sich die Gruppe häufig als IT-Mitarbeiter ausgegeben, um Personen zu verleiten, ihre Anmeldedaten preiszugeben oder Fernzugriff auf ihre Computer zu gewähren. Scattered Spider wurde auch mit verschiedenen früheren Phishing-Kampagnen und der Verbreitung bösartiger Kernel-Treiber in Verbindung gebracht, darunter die Verwendung einer signierten, aber bösartigen Version des Treibres für die Windows-Intel-Ethernet-Diagnose.

Bereits Mitte 2023 wurde berichtet, dass Scattered Spider an der BlackCat-Ransomware-Operation beteiligt war, welche die Bereitstellung von Ransomware-Payloads auf Windows- und Linux-Systemen initiierte und anschließend VMWare ESXi-Server ins Visier nahm.

Vertreter von BlackCat haben erklärt, dass sie ausschließlich mit russischsprachigen Partnern zusammenarbeiten. Daher spiegelt die Beteiligung von Scattered Spider als Partner an diesem Ransomware-as-a-Service (RaaS) wahrscheinlich die kontinuierliche Entwicklung einer russischsprachigen RaaS-Gruppe wider, die auf die Maximierung finanzieller Gewinne ausgerichtet ist. Eine wichtige Voraussetzung für die Rekrutierung von Partnern ist wahrscheinlich, dass sie keine Organisationen innerhalb der Gemeinschaft Unabhängiger Staaten (GUS) angreifen.

Untersuchung der Vorfälle

Im August 2022 entdeckte ein amerikanisches Cloud-Kommunikationsunternehmen einen unbefugten Zugriff, durch den Informationen von 163 seiner Kunden offengelegt wurden. Zu den kompromittierten Daten gehörten Mobiltelefonnummern und SMS-Nachrichten mit Einmalpasswörtern, auf die Scattered Spider über die Konsole Zugriff erlangte. Der Angreifer setzte ein Phishing-Kit ein, das darauf ausgelegt war, Benutzernamen, Passwörter und Einmalpasswörter (OTP) zu erfassen. Zu den Zielen gehörten vor allem Technologieunternehmen, Telekommunikationsanbieter sowie Unternehmen und Personen aus dem Bereich Krypto-Währungen.

Im Dezember 2022 wurde eine Kampagne von Scattered Spider entdeckt, die auf Unternehmen aus den Bereichen Telekommunikation und Business Process Outsourcing (BPO) abzielte, um sich Zugang zu Mobilfunknetzen zu verschaffen. Bis Januar 2023 war Scattered Spider in über sechs Vorfälle verwickelt, die sich seit Mitte 2022 ereignet hatten. Diese Vorfälle drehten sich um die gezielte Attacke auf renommierte Outsourcing-Firmen, die Krypto-Währungsunternehmen und Personen mit hohem Vermögenswert betreuen. Zuletzt hatten sie britische Einzelhandelsunternehmen ins Visier genommen.

Malware und Toolset

Scattered Spider ist bekannt für den Diebstahl sensibler Daten und die Nutzung vertrauenswürdiger Unternehmensinfrastrukturen für Folgeangriffe auf nachgelagerte Kunden. Scattered Spider nutzt in der Regel Schwachstellen, wie CVE-2015-2291, und Tools, wie STONESTOP und POORTRY, um Sicherheits-Software zu deaktivieren und so der Erkennung zu entgehen. Die Gruppe verfügt über fundierte Kenntnisse der Azure-Umgebung und setzt während ihrer Operationen effektiv integrierte Tools ein.

Nach dem ersten Zugriff wurde beobachtet, dass Scattered Spider in einer Reihe von Umgebungen, darunter Windows, Linux, Google Workspace, Azure Active Directory, Microsoft 365 und AWS, Aufklärungsmaßnahmen durchführt. Darüber hinaus führen sie laterale Bewegungen durch und laden zusätzliche Tools herunter, um in bestimmten Fällen VPN- und MFA-Registrierungsdaten zu stehlen.

Die Gruppe etabliert außerdem Persistenz durch legitime Fernzugriffstools wie AnyDesk, LogMeIn und ConnectWise Control.
POORTRY ist ein bösartiger Treiber, der zum Beenden bestimmter Prozesse auf Windows-Systemen eingesetzt wird, beispielsweise eines Agenten für Endpoint Detection and Response (EDR), der auf einem Endpunkt ausgeführt wird. Um eine Erkennung zu vermeiden, gehen die Angreifer sogar so weit, den POORTRY-Treiber mit einer Signatur von Microsoft Windows Hardware Compatibility Authenticode zu versehen.

STONESTOP hingegen ist ein Windows-Benutzerdienstprogramm, das benutzt werden kann, um Prozesse durch die Erstellung und Einführung eines bösartigen Treibers zu beenden. Dieses Dienstprogramm fungiert sowohl als Loader als auch als Installer für POORTRY und dient als Orchestrator, der dem Treiber die auszuführenden Aktionen mitteilt.
Techniken von Scattered Spider

Das Vorgehen in den verschiedenen Angriffen ähnelt sich und daher lässt sich anhand des Musters eine Verbindung zum aktuellen Angriff in Großbritannien ziehen. Das Schema eines kürzlich erfolgten Angriffs sieht wie folgt aus:

  • Sammeln von Mobiltelefonnummern von Mitarbeitern aus kommerziell verfügbaren Datenaggregationsdiensten.
  • Phishing-Angriffe auf bestimmte Mitarbeiter, einschließlich Smishing und Voice Phishing.
  • Anmeldedaten über gezielte Phishing-Seiten erlangen.
  • Weiterleitung von Einmalpasswörtern (OTP) über Phishing-Seiten.
  • Verteilung des kommerziellen RMM-Tools AnyDesk.
  • Verwendung von anonymisierenden Proxy-Diensten.
  • Übernahme von Benutzerkonten.
  • Durchführung weiterer Smishing-Angriffe gegen Personen aus dem Technologie-/Telekommunikationsbereich mit Verbindungen zu Krypto-Währungen.

Sicherheitslücken

Scattered Spider ist bekannt für die Ausnutzung von CVE-2015-2291, einer Sicherheitslücke im Intel-Ethernet-Diagnosetreiber für Windows (iqvw64.sys). Diese Schwachstelle ermöglicht es lokalen Benutzern, mithilfe sorgfältig ausgearbeiteter IOCTL-Aufrufe, insbesondere (a) 0x80862013, (b) 0x8086200B, (c) 0x8086200F oder (d) 0x80862007, einen Denial-of-Service auszulösen oder beliebigen Code mit Kernel-Rechten auszuführen. Um ihr Vorhaben umzusetzen, nutzte Scattered Spider CVE-2015-2291, um einen bösartigen Kernel-Treiber in den Intel-Ethernet-Diagnosetreiber für Windows (iqvw64.sys) einzuschleusen.

Darüber hinaus hat Scattered Spider CVE-2021-35464 ausgenutzt, eine Schwachstelle, die im ForgeRock AM-Server identifiziert wurde. In Versionen des ForgeRock AM-Servers vor 7.0 wurde eine Java-De-Serialisierungs-Sicherheitslücke im Zusammenhang mit dem Parameter „jato.pageSession“ auf mehreren Seiten entdeckt. Diese Sicherheitslücke erfordert keine Authentifizierung und kann durch das Senden einer speziell gestalteten /ccversion/*-Anfrage an den Server zur Ausführung von Remote-Code führen. Diese Sicherheitslücke entsteht durch die Verwendung des Sun ONE Application Framework (JATO) in Java 8 oder früheren Versionen.

Scattered Spider nutzte CVE-2021-35464, um Code auszuführen und seine Berechtigungen auf einer AWS-Instanz zu erweitern, die den Apache-Tomcat-Benutzer verwendete. Dies wurde durch die Anforderung und Übernahme von Berechtigungen erreicht, die einer Instanz entsprechen, was durch einen kompromittierten AWS-Token erleichtert wurde.

Alle Details und die entsprechenden IOCs, CVEs und TTPs finden sichim Check Point Blog.

Lesen Sie auch

Mock code for an AI Large Language Model (LLM) that could intelligently answer questions LLMs are one of the most popular implementations of recent Artificial Intelligence research

Device Code-Phishing nicht auf die leichte Schulter nehmen

Abbildung Werbebanner

Kriminelle Geschäfte mit bösartigen KI-Modellen im Darknet

commmvault b

Cleanroom Recovery senkt das Risiko beim Restore kompromittierter Infrastruktur