Microsoft, Octo Tempest olarak izlediği, veri gasp ve fidye yazılımı saldırılarındaki şirketleri hedefleyen gelişmiş sosyal mühendislik yeteneklerine sahip yerel İngilizce konuşan bir tehdit aktörünün ayrıntılı bir profilini yayınladı.
Octo Tempest’in saldırıları, 2022'nin başından beri sürekli olarak gelişti, hedeflemelerini kablo telekomünikasyon, e -posta ve teknoloji hizmetleri sağlayan kuruluşlara genişletti ve ALPHV/Blackcat Fidye yazılım grubuyla ortaklık kurdu.
Tehdit oyuncusu başlangıçta SIM swapları satıyor ve kripto para birimi varlıkları olan yüksek profilli bireylerin hesaplarını çaldı.
2022'nin sonlarında Octa Tempest, ihlal edilen hizmet sağlayıcılarının müşterileri için parolaları sıfırlama ve veri hırsızlığı için kimlik avı, sosyal mühendislik, şifreleri sıfırladı.
Bu yılın başlarında, tehdit grubu oyun, misafirperverlik, perakende, imalat, teknoloji ve finans sektörlerin yanı sıra yönetilen hizmet sağlayıcılar (MSP'ler) şirketlerine saldırdı.
ALPHV/Blackcat üyesi olduktan sonra Octa Tempest, kurban verilerini çalmak ve şifrelemek için fidye yazılımlarını konuşlandırdı.
Grup birikmiş deneyimini daha gelişmiş ve agresif saldırılar oluşturmak için kullandı ve ayrıca veri çaldıktan sonra kurbanları zorla kurbanlardan para kazanmaya başladı.
Microsoft, Octo Tempest'in bazı durumlarda saldırılarını ilerletecek girişler elde etmek için doğrudan fiziksel tehditler kullandığını söylüyor.
Octo Tempest, tuhaf bir olayda, Microsoft, Microsoft'un ALPHV/Blackcat Fidye Yazılımları (RAAS) operasyonunun bir üyesi oldu ve Haziran ayına kadar VMware ESXI'ye odaklanarak hem Windows hem de Linux fidye yazılımı yüklerini dağıtmaya başladılar. Son zamanlarda sunucular.
“Bu, tarihsel olarak, Doğu Avrupa fidye yazılımı gruplarının yerli İngilizce konuşan suçlularla iş yapmayı reddetmesinde dikkat çekicidir” -Microsoft
Bu gruptan yapılan daha yeni saldırılar, oyun, doğal kaynaklar, misafirperverlik, tüketici ürünleri, perakende, yönetilen hizmet sağlayıcılar, üretim, hukuk, teknoloji ve finansal hizmetler dahil olmak üzere çeşitli sektörlerdeki organizasyonları hedefliyor.
Microsoft, Octo Tempest'in kapsamlı teknik bilgiye ve birden çok klaviye operatörüne sahip üyeleri içeren iyi organize edilmiş bir grup olduğunu değerlendiriyor.
Bilgisayar korsanları genellikle, saldırıyı daha da ileriye götürmek için yeterli izinlerle teknik yöneticilerin (örneğin destek ve yardım masası personeli) hesaplarını hedefleyen gelişmiş sosyal mühendislik yoluyla başlangıç erişimini sağlar.
Şirketi, telefon görüşmesinde bireyin konuşma kalıplarını taklit etme seviyesine taklit edebilecekleri hedefleri belirlemek için araştırıyorlar.
Bunu yaparak, teknik yöneticileri şifre sıfırlamaları gerçekleştirmeye ve çok faktörlü kimlik doğrulama (MFA) yöntemlerini sıfırlamaya kandırırlar.
İlk erişim için diğer yöntemler şunları içerir:
Yeterli erişim elde ettikten sonra, Octo Tempest bilgisayar korsanları, ev sahibi ve hizmetleri numaralandırarak ve meşru kanalların saldırıyı ilerletmesine izin verecek bilgileri toplayarak saldırının keşif aşamasına başlar.
“Kullanıcıların, grupların ve cihaz bilgilerinin ilk toplu ihraçını, sanal masaüstü altyapısı veya kurumsal olarak barındırılan kaynaklardaki kullanıcının profiline kolayca ulaşılabilen veri ve kaynakları numaralandırmak izliyor”-Microsoft
Octo Tempest daha sonra bulut ortamları, kod depoları, sunucu ve yedekleme yönetim sistemlerinde altyapıyı keşfetmeye, erişimi ve kaynakları numaralandırmaya devam eder.
Ayrıcalıkları artırmak için, tehdit oyuncusu tekrar sosyal mühendisliğe, SIM-Swaying'e veya çağrı yönlendirmeye dönüşür ve hedefin hesabının self servis şifresini sıfırlar.
Bu adım sırasında, bilgisayar korsanları, tehlikeye atılan hesapları kullanarak ve şirketin prosedürlerini anlayarak kurbanla güven oluştururlar. Bir yöneticinin hesabına sahiplerse, daha fazla izin taleplerini onaylarlar.
Erişimleri olduğu sürece Octo Tempest, erişimlerini genişletmek için ek kimlik bilgileri aramaya devam ediyor. Kod depolarında düz metin anahtarları, sırlar ve şifreler arayışını otomatikleştirmek için Jercretz ve Trufflehog gibi araçları kullanırlar.
Pistlerini gizli tutmak için, bilgisayar korsanları güvenlik ürünlerini ve özelliklerini devre dışı bırakmalarını sağlayan güvenlik personelinin hesaplarını da hedefler.
“Uzaklaştırılmış hesapları kullanarak, tehdit oyuncusu, kötü amaçlı araçlara izin vermek, RMM yazılımını dağıtmak, güvenlik ürünlerini kaldırmak veya bozmak, hassas dosyaların veri hırsızlığı (örn. Kimlik bilgileri, sinyal mesajlaşma veritabanları vb.) Ve dağıtmak için EDR ve cihaz yönetimi teknolojilerinden yararlanır. Kötü amaçlı yükler ” - Microsoft
Microsoft'a göre Octo Tempest, değişikliklerin uyarılarını bastırarak ve kurbanın ihlal şüphelerini artırabilecek e -postaları silmek için posta kutusu kurallarını değiştirerek ağdaki varlıklarını gizlemeye çalışır.
Araştırmacılar, Octo Tempest'in saldırılarında kullandığı aşağıdaki ek araç ve teknikleri sağlar:
Bilgisayar korsanları ayrıca, Azure veri fabrikası ve tipik büyük veri işlemleriyle karışmak için otomatik boru hatlarını içeren benzersiz bir teknik kullanarak çalınan verileri sunucularına taşır.
SharePoint belge kütüphanelerini dışa aktarmak ve dosyaları daha hızlı aktarmak için, saldırganın veeam, AFI yedekleme ve CommVault gibi meşru Microsoft 365 yedekleme çözümlerini kaydettiği sıklıkla gözlemlenmiştir.
Microsoft, bir ortamda bu tehdit aktörünü tespit etmenin veya avlamanın, sosyal mühendisliğin kullanımı, kara geçirme teknikleri ve çeşitli araçlar nedeniyle kolay bir iş olmadığını belirtiyor.
Bununla birlikte, araştırmacılar, kimlik ile ilgili süreçleri, Azure ortamlarını ve uç noktaları izlemek ve gözden geçirmekle başlayan kötü niyetli etkinliklerin tespit edilmesine yardımcı olabilecek bir dizi genel yönerge sunmaktadır.
Octo Tempest finansal olarak motive edilir ve kripto para birimi, veri hırsızlığı gasp veya sistemleri şifreleyerek ve fidye isteyerek hedeflerine ulaşır.
MGM Casino'nun ESXI sunucularının fidye yazılımı saldırısında şifrelendiği iddia ediliyor
Ransomware'de Hafta - 27 Ekim 2023 - Kırılma Kayıtları
Seiko, fidye yazılımı saldırısının hassas müşteri verilerini açıkladığını söylüyor
Blackcat Ransomware, gizli saldırılarda yeni 'Munchkin' Linux VM kullanıyor
Fidye Yazılımında Hafta - 13 Ekim 2023 - Artan saldırılar
Kaynak: Bleeping Computer