Microsoft раскрывает Octo Tempest, одного из самых опасных участников финансовых угроз на сегодняшний день
31 октября 2023 г.В новом отчете команд Microsoft Incident Response и Microsoft Threat Intelligence раскрыта деятельность и постоянное развитие финансово ориентированного злоумышленника по имени Окто Темпест, который применяет передовые методы социальной инженерии для нападения на компании, крадет данные и проводит кампании по вымогательству.
Перейти к:
- Тактика, приемы и процедуры Окто Темпеста
Кто такой Окто Темпест?
Как защититься от угрозы Octo Tempest
Тактика, приемы и процедуры Окто Темпеста
Злоумышленник использует различные тактики, методы и процедуры для успешного проведения своих операций.
Первоначальный доступ
Octo Tempest обычно использует атаки социальной инженерии, нацеленные на людей в компаниях, которые имеют доступ к большему количеству данных, чем средний пользователь, например, технические администраторы, службы поддержки или службы поддержки. По данным Microsoft, в ходе этих атак было замечено, что группа выдавала себя за новых сотрудников, чтобы вписаться в процесс найма.
Используя свои навыки социальной инженерии, группа может позвонить сотрудникам и обманом заставить их установить инструмент удаленного мониторинга и управления или просмотреть фишинговый сайт, содержащий набор инструментов «Противник в середине», чтобы обойти двухфакторную аутентификацию и удалить их токен FIDO2.
Группа также может использовать смишинг, отправку сотрудникам SMS-сообщений, содержащих фишинговую ссылку, ведущую на поддельную страницу входа с помощью инструментария AitM, или инициировать атаку по замене SIM-карты на телефонные номера сотрудников, чтобы иметь возможность сбросить свой пароль, как только они получат контроль. номера телефона.
Кроме того, Octo Tempest приобретает действительные учетные данные и сеансовые файлы cookie для компаний непосредственно на подпольных торговых площадках киберпреступников.
В редких случаях группа использовала очень агрессивные физические угрозы сотрудникам посредством телефонных звонков и SMS, используя их личную информацию, такую как домашний адрес или имена членов семьи, с целью получить учетные данные жертв для корпоративного доступа.
Разведка и открытие
После доступа к системе Octo Tempest выполняет различные действия по подсчету и сбору информации. Эти данные позволят злоумышленнику лучше узнать организацию, экспортировать список пользователей и групп, собрать информацию об устройствах и способствовать дальнейшему компрометации и возможному злоупотреблению законными каналами для других вредоносных действий.
Кроме того, Octo Tempest пытается собрать документы, связанные с сетевой архитектурой, методами удаленного доступа, политиками паролей, хранилищами учетных данных и адаптацией сотрудников.
Группа исследует всю внутреннюю среду целевой организации, проверяет доступ и перечисляет базы данных и контейнеры хранения. Было замечено, что они использовали PingCastle и ADRecon для проверки Active Directory, Govmomi для перечисления API vCenter, модуль Pure Storage FlashArray PowerShell для перечисления массивов хранения и Advanced IP Scanner для проверки внутренних сетей.
Больше учетных данных и привилегий
Чтобы повысить свои привилегии внутри корпоративной среды, Octo Tempest может позвонить в службу поддержки и социализировать человека, отвечающего на звонок, чтобы он поверил, что он разговаривает с администратором, которому необходимо сбросить пароль, изменить свой токен MFA или добавить другой, который владеет злоумышленник.
В некоторых случаях группа обходила процедуру сброса пароля, используя для одобрения запросов учетную запись скомпрометированного менеджера.
Злоумышленник постоянно пытается собрать больше учетных данных и использует инструменты с открытым исходным кодом, такие как TruffleHog, чтобы облегчить идентификацию ключей и секретов в виде открытого текста или учетных данных внутри репозиториев кода. Octo Tempest использует дамперы учетных данных, такие как Mimikatz или LaZagne.
Уклонение от защиты
Octo Tempest получает доступ к учетным записям ИТ-персонала, чтобы отключить продукты и функции безопасности, чтобы избежать обнаружения. Злоумышленник использует технологии обнаружения и реагирования на конечных точках, а также технологии управления устройствами, чтобы позволить использовать вредоносные инструменты, развертывать дополнительное программное обеспечение или красть данные.
В то время как многие злоумышленники отключают меры безопасности в скомпрометированной системе, Octo Tempest делает еще один шаг вперед, изменяя правила почтовых ящиков сотрудников службы безопасности, чтобы автоматически удалять электронные письма от поставщиков средств безопасности, которые могут предупредить персонал.
Кто такой Окто Темпест?
Octo Tempest — финансово ориентированный злоумышленник, члены которого являются носителями английского языка. Группа также носит имена 0ktapus, Scattered Spider, Scatter Swine и UNC3944.
Первоначально злоумышленник был замечен в 2022 году: он нацелился на компании мобильной связи и организации, занимающиеся аутсорсингом бизнес-процессов, с целью инициировать замену SIM-карт, которую они монетизировали, продавая ее другим преступникам и осуществляя кражу криптовалюты у богатых людей.
С тех пор Octo Tempest постоянно развивалась (рис. A) и агрессивно расширяла свою деятельность, нацеленную на кабельные телекоммуникационные компании, организации электронной почты и технологические организации. Злоумышленник начал операции по вымогательству данных, украденных в ходе взлома этих компаний.
Рисунок А
Группа также провела крупные фишинговые кампании, нацеленные на идентификационные данные Okta, которые они использовали для последующих атак на цепочку поставок. Например, этой группе можно приписать успешные атаки на Twilio и Mailchimp.
Octo Tempest затем стал партнером программы-вымогателя ALPHV/BlackCat, что было неожиданным шагом, учитывая, что восточноевропейские группы вымогателей обычно отказываются от англоязычных филиалов. Группа нацелилась на более широкий круг компаний, включая гостиничный бизнес, потребительские товары, розничную торговлю, производство, игры, природные ресурсы, юриспруденцию, технологии и финансовые услуги.
Microsoft отметила, что группа обладает высокой квалификацией: «В ходе недавних кампаний мы наблюдали, как Octo Tempest использует разнообразный набор TTP для навигации по сложным гибридным средам, извлечения конфиденциальных данных и шифрования данных. Octo Tempest использует методы, которых нет в типичных моделях угроз многих организаций, такие как SMS-фишинг, подмена SIM-карты и передовые методы социальной инженерии».
Как защититься от угрозы Octo Tempest
Роджер Граймс, евангелист по защите данных в KnowBe4, прокомментировал заявление, полученное TechRepublic по электронной почте:
«Это примеры весьма изощренных атак по всему спектру возможных атак и мотивов. Каждая организация должна создать свой лучший план глубокоэшелонированной киберзащиты, используя лучшее сочетание политик, технической защиты и обучения, чтобы наилучшим образом снизить риск этих атак. Сотрудникам необходимо доводить до сведения сотрудников методы и сложность этих атак. Им нужно много примеров. Сотрудники должны уметь распознавать различные методы кибератак и быть обучены тому, как их распознавать, смягчать и соответствующим образом сообщать о них. Мы знаем, что от 50% до 90% связаны с социальной инженерией, а от 20% до 40% — с непропатченным программным обеспечением и прошивкой, поэтому все, что организация может сделать для наилучшей борьбы с этими двумя методами атак, скорее всего, ей следует начать».
Microsoft предоставила обширный список рекомендаций, в который входят:
- Управление идентификацией необходимо тщательно контролировать, тщательно анализируя любые изменения; в частности, необходимо проверить административные изменения.
Изменения EDR, особенно новые исключения, должны быть тщательно изучены. Необходимо тщательно изучить недавние установки инструментов удаленного администрирования.
Устойчивая к фишингу многофакторная аутентификация, такая как ключи безопасности FIDO2, должна быть развернута для администраторов и всех привилегированных пользователей.
Каждый сотрудник должен регулярно проходить обучение по вопросам кибербезопасности, особенно методам фишинга и социальной инженерии, посредством различных кампаний по повышению осведомленности о безопасности.
Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.
Оригинал