Η Microsoft δημοσίευσε ένα λεπτομερές προφίλ ενός γηγενή αγγλόφωνου παράγοντα απειλών με προηγμένες δυνατότητες κοινωνικής μηχανικής που παρακολουθεί ως Octo Tempest, που στοχεύει εταιρείες σε εκβιασμούς δεδομένων και επιθέσεις ransomware.
Οι επιθέσεις του Octo Tempest εξελίσσονται σταθερά από τις αρχές του 2022, επεκτείνοντας τη στόχευσή τους σε οργανισμούς που παρέχουν καλωδιακές τηλεπικοινωνίες, email και
υπηρεσίες
τεχνολογίας και συνεργαζόμενοι με την ομάδα ransomware ALPHV/BlackCat.
Από κλοπή λογαριασμού έως ransomware
Ο ηθοποιός της απειλής αρχικά παρατηρήθηκε να πουλάει ανταλλαγές SIM και να κλέβει λογαριασμούς ατόμων υψηλού προφίλ με περιουσιακά στοιχεία κρυπτονομισμάτων.
Στα τέλη του 2022, η Octa Tempest πέρασε στο phishing, την κοινωνική μηχανική, τη μαζική επαναφορά κωδικών πρόσβασης για τους πελάτες παρόχων υπηρεσιών που παραβιάστηκαν και την κλοπή δεδομένων.
Νωρίτερα αυτό το έτος, η ομάδα απειλών επιτέθηκε σε εταιρείες στους τομείς των τυχερών παιχνιδιών, της φιλοξενίας, του λιανικού εμπορίου, της κατασκευής, της τεχνολογίας και των χρηματοοικονομικών τομέων, καθώς και σε διαχειριζόμενους παρόχους υπηρεσιών (MSP).
Αφού έγινε θυγατρική της ALPHV/BlackCat, η Octa Tempest ανέπτυξε το ransomware τόσο για την κλοπή όσο και για την κρυπτογράφηση δεδομένων των θυμάτων.
Η εξέλιξη της ομάδας απειλών Octo Tempest σε ransomware
πηγή: Microsoft
Η ομάδα χρησιμοποίησε τη συσσωρευμένη εμπειρία της για να δημιουργήσει πιο προηγμένες και επιθετικές επιθέσεις και άρχισε επίσης να δημιουργεί έσοδα από εισβολές εκβιάζοντας τα θύματα μετά από κλοπή δεδομένων.
Η Microsoft λέει ότι το Octo Tempest χρησιμοποίησε επίσης άμεσες φυσικές απειλές σε ορισμένες περιπτώσεις για να αποκτήσει στοιχεία σύνδεσης που θα προωθούσαν την επίθεσή τους.
Οι απειλές σωματικής βλάβης του Octo Tempest για την απόκτηση στοιχείων σύνδεσης λογαριασμού
πηγή: Microsoft
Σε μια περίεργη τροπή των γεγονότων, η Octo Tempest έγινε θυγατρική της λειτουργίας ALPHV/BlackCat ransomware-as-a-service (RaaS), λέει η Microsoft, και τον Ιούνιο άρχισαν να αναπτύσσουν ωφέλιμα φορτία ransomware Windows και
Linux
, εστιάζοντας στο
VMware ESXi
διακομιστές τον τελευταίο καιρό.
“Αυτό είναι αξιοσημείωτο από το ότι, ιστορικά, ομάδες ransomware της Ανατολικής Ευρώπης αρνήθηκαν να συνεργαστούν με γηγενείς αγγλόφωνους εγκληματίες” –
Microsoft
Οι πιο πρόσφατες επιθέσεις από αυτήν την ομάδα στοχεύουν οργανισμούς σε διάφορους τομείς, συμπεριλαμβανομένων των τυχερών παιχνιδιών, των φυσικών πόρων, της φιλοξενίας, των καταναλωτικών προϊόντων, του λιανικού εμπορίου, των διαχειριζόμενων παρόχων υπηρεσιών, της μεταποίησης, του νόμου, της τεχνολογίας και των χρηματοοικονομικών υπηρεσιών.
Octo Tempest TTP
Η Microsoft εκτιμά ότι το Octo Tempest είναι μια καλά οργανωμένη ομάδα που περιλαμβάνει μέλη με εκτεταμένες τεχνικές γνώσεις και πολλαπλούς χειριστές πληκτρολογίου.
Οι χάκερ συχνά αποκτούν αρχική πρόσβαση μέσω προηγμένης κοινωνικής μηχανικής που στοχεύει λογαριασμούς τεχνικών διαχειριστών (π.χ. προσωπικό υποστήριξης και γραφείου βοήθειας) με αρκετές άδειες για την προώθηση της επίθεσης.
Ερευνούν την εταιρεία για να εντοπίσουν τους στόχους που μπορούν να υποδυθούν σε επίπεδο μίμησης των μοτίβων ομιλίας του ατόμου στις τηλεφωνικές κλήσεις.
Με αυτόν τον τρόπο, ξεγελούν τους τεχνικούς διαχειριστές ώστε να πραγματοποιήσουν επαναφορά κωδικού πρόσβασης και να επαναφέρουν μεθόδους ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Άλλες μέθοδοι για αρχική πρόσβαση περιλαμβάνουν:
- εξαπάτηση του στόχου για εγκατάσταση λογισμικού απομακρυσμένης παρακολούθησης και διαχείρισης
- κλοπή των συνδέσεων μέσω ιστότοπων phishing
- αγορά διαπιστευτηρίων ή κουπονιών συνεδρίας από άλλους εγκληματίες του κυβερνοχώρου
- Υπάλληλοι ηλεκτρονικού ψαρέματος SMS με συνδέσμους σε πλαστές πύλες σύνδεσης που καταγράφουν τα διαπιστευτήρια
- Εναλλαγή SIM ή προώθηση κλήσεων
- Άμεσες απειλές βίας
Μόλις αποκτήσουν επαρκή πρόσβαση, οι χάκερ του Octo Tempest ξεκινούν το στάδιο αναγνώρισης της επίθεσης απαριθμώντας οικοδεσπότες και υπηρεσίες και συλλέγοντας πληροφορίες που θα επέτρεπαν την κατάχρηση νόμιμων καναλιών για την προώθηση της εισβολής.
“Η αρχική μαζική εξαγωγή χρηστών, ομάδων και πληροφοριών συσκευών ακολουθείται στενά από την απαρίθμηση δεδομένων και πόρων που είναι άμεσα διαθέσιμα στο προφίλ του χρήστη εντός της υποδομής εικονικής επιφάνειας
εργασία
ς ή των πόρων που φιλοξενούνται από την επιχείρηση” – Microsoft
Στη συνέχεια, το Octo Tempest προχωρά στην εξερεύνηση της υποδομής, απαριθμώντας την πρόσβαση και τους πόρους σε περιβάλλοντα
cloud
, αποθετήρια κώδικα, διακομιστές και συστήματα διαχείρισης αντιγράφων ασφαλείας.
Για την κλιμάκωση των προνομίων, ο παράγοντας απειλής στρέφεται ξανά στην κοινωνική μηχανική, την ανταλλαγή SIM ή την προώθηση κλήσεων και ξεκινά μια επαναφορά κωδικού πρόσβασης αυτοεξυπηρέτησης του λογαριασμού του στόχου.
Κατά τη διάρκεια αυτού του βήματος, οι χάκερ χτίζουν εμπιστοσύνη με το θύμα χρησιμοποιώντας παραβιασμένους λογαριασμούς και επιδεικνύοντας ότι κατανοούν τις διαδικασίες της εταιρείας. Εάν έχουν λογαριασμό διαχειριστή, εγκρίνουν οι ίδιοι αιτήματα για αυξημένες άδειες.
Για όσο διάστημα έχουν πρόσβαση, το Octo Tempest συνεχίζει να αναζητά πρόσθετα διαπιστευτήρια για να επεκτείνει την εμβέλειά του. Χρησιμοποιούν εργαλεία όπως το Jercretz και το TruffleHog για να αυτοματοποιήσουν την αναζήτηση κλειδιών απλού κειμένου, μυστικών και κωδικών πρόσβασης στα αποθετήρια κώδικα.
Για να κρατήσουν τα ίχνη τους κρυφά, οι χάκερ στοχεύουν επίσης τους λογαριασμούς του προσωπικού ασφαλείας, κάτι που τους επιτρέπει να απενεργοποιούν προϊόντα και λειτουργίες ασφαλείας.
«Χρησιμοποιώντας παραβιασμένους λογαριασμούς, ο παράγοντας απειλών αξιοποιεί τεχνολογίες EDR και διαχείρισης συσκευών για να επιτρέψει κακόβουλα εργαλεία, να αναπτύξει λογισμικό RMM, να αφαιρέσει ή να επηρεάσει τα προϊόντα ασφαλείας, την κλοπή δεδομένων ευαίσθητων αρχείων (π.χ. αρχεία με διαπιστευτήρια, βάσεις δεδομένων μηνυμάτων σήματος, κ.λπ.) και να αναπτύξει κακόβουλα ωφέλιμα φορτία» – Microsoft
Σύμφωνα με τη Microsoft, το Octo Tempest προσπαθεί να κρύψει την παρουσία του στο δίκτυο καταστέλλοντας ειδοποιήσεις για αλλαγές και τροποποιώντας τους κανόνες του γραμματοκιβωτίου για να διαγράψει μηνύματα ηλεκτρονικού ταχυδρομείου που θα μπορούσαν να εγείρουν τις υποψίες του θύματος για παραβίαση.
Οι ερευνητές παρέχουν τα ακόλουθα πρόσθετα εργαλεία και τεχνικές που χρησιμοποιεί το Octo Tempest στις επιθέσεις τους:
-
εργαλεία ανοιχτού κώδικα:
ScreenConnect
,
FleetDeck
,
AnyDesk
,
RustDesk
,
Splashtop
,
Pulseway
,
TightVNC
LummaC2, Level.io, Mesh,
TacticalRMM
,
Κλίμακα ουράς
,
Νγκροκ
,
WsTunnel
,
Rsocx
και
Socat
- ανάπτυξη εικονικών μηχανών Azure για την ενεργοποίηση της απομακρυσμένης πρόσβασης μέσω εγκατάστασης RMM ή τροποποίησης σε υπάρχοντες πόρους μέσω σειριακής κονσόλας Azure
- προσθήκη μεθόδων MFA σε υπάρχοντες χρήστες
-
χρησιμοποιώντας το εργαλείο διάνοιξης σήραγγας
Twingate
το οποίο αξιοποιεί τις παρουσίες του Azure Container ως ιδιωτική εφαρμογή σύνδεσης (χωρίς έκθεση στο δημόσιο δίκτυο)
Οι χάκερ μετακινούν επίσης κλεμμένα δεδομένα στους διακομιστές τους χρησιμοποιώντας μια μοναδική τεχνική, η οποία περιλαμβάνει το Azure Data Factory και αυτοματοποιημένους αγωγούς που συνδυάζονται με τυπικές λειτουργίες μεγάλων δεδομένων.
Για την εξαγωγή βιβλιοθηκών εγγράφων του SharePoint και τη γρήγορη μεταφορά των αρχείων, έχει παρατηρηθεί συχνά ότι ο εισβολέας καταχωρεί νόμιμες λύσεις δημιουργίας αντιγράφων ασφαλείας του Microsoft 365, όπως το Veeam, το AFI Backup και το CommVault.
Η Microsoft σημειώνει ότι ο εντοπισμός ή η αναζήτηση αυτού του παράγοντα απειλής σε ένα περιβάλλον δεν είναι εύκολη υπόθεση λόγω της χρήσης κοινωνικής μηχανικής, τεχνικών διαβίωσης εκτός της γης και των διαφορετικών εργαλείων.
Ωστόσο, οι ερευνητές παρέχουν ένα σύνολο γενικών κατευθυντήριων γραμμών που θα μπορούσαν να βοηθήσουν στην ανίχνευση κακόβουλης δραστηριότητας, η οποία ξεκινά με την παρακολούθηση και τον έλεγχο διαδικασιών που σχετίζονται με την ταυτότητα, περιβαλλόντων Azure και τελικών σημείων.
Το Octo Tempest έχει οικονομικά κίνητρα και πετυχαίνει τους στόχους του μέσω της κλοπής κρυπτονομισμάτων, της κλοπής δεδομένων ή της κρυπτογράφησης συστημάτων και ζητώντας λύτρα.
VIA:
bleepingcomputer.com