https://www.informationsecurity.com.tw/Seminar/2024_TNSP/
https://www.informationsecurity.com.tw/Seminar/2024_TNSP/

觀點

微軟:Octo Tempest是最危險的金融駭客組織之一

2023 / 10 / 30
編輯部
微軟:Octo Tempest是最危險的金融駭客組織之一
微軟近日公布Octo Tempest惡意駭客組織的詳細資料。Octo Tempest具有先進的社交工程攻擊能力,目標以勒索軟體攻擊對受害者進行資料勒索。

自 2022 年初以來,Octo Tempest將攻擊目標擴大到電信、IT服務的MSP企業組織,並與 ALPHV/BlackCat 勒索軟體合作。今年6月開始,Octo Tempest開始部署 Windows 和 Linux 勒索軟體負載,鎖定VMware ESXi伺服器。

Octo Tempest最近發起的攻擊針對各行業的組織,包括遊戲、自然資源、飯店、消費品、零售、託管服務提供者、製造、法律、科技和金融服務。

Octo Tempest通常透過高級社交工程獲得初始存取權限,該社交工程攻擊多針對具有足夠許可權的技術管理員,如支援和服務台人員的帳戶為目標,以進一步實施攻擊。

Octo Tempest也進行電話語音釣魚,透由模仿語音,誘騙技術管理員執行密碼重置並重置多因子身份驗證 (MFA)設定。初始訪問的其他方法包括:
  • 誘騙目標安裝遠端監控和管理軟體
  • 透由網路釣魚網站竊取登錄資訊
  • 從其他網路犯罪分子那裡購買憑證或對話權杖
  • 簡訊網路釣魚員工帶有可捕獲憑證的虛假登入網頁
  • SIM 卡交換或來電轉接
  • 直接暴力威脅
一旦獲得足夠的存取權限,Octo Tempest 駭客就會利用列舉本機和服務並濫用合法通道進行入侵來啟動攻擊的偵察階段。偵查對象包含跨雲環境、程式碼存儲庫、伺服器和備份管理系統。
 
為了隱藏攻擊蹤跡,Octo Tempest還針對安全人員的帳戶,這使他們能夠禁用安全產品和功能。微軟表示,Octo Tempest利用 EDR 和設備管理技術來允許惡意工具、部署 RMM 軟體、刪除或損害安全產品、竊取敏感資料檔案,包含憑證案檔、信號資料庫,並部署惡意負載。

微軟發現Octo Tempest 試圖透過抑制更改警報並修改郵箱規則刪除可能引起受害者懷疑存在違規行為的電子郵件來隱藏自己。

Octo Tempest使用的攻擊工具和技術:
  • 開源工具:  ScreenConnect、  FleetDeck、  AnyDesk、  RustDesk、  Splashtop、  Pulseway、  TightVNC、LummaC2、Level.io、Mesh、  TacticalRMM、  Tailscale、  Ngrok、  WsTunnel、  Rsocx和 Socat
  • 部署 Azure 虛擬機器以 RMM 安裝實現遠端存取或通過 Azure 串列控制台修改現有資源
  • 對現有用戶修改MFA
  • 使用隧道工具 Twingate,該工具利用 Azure 容器實例作為專用連接器,不暴露於公共網路
駭客還使用一種獨特的技術將竊取的資料轉移到他們的伺服器,其中涉及 Azure 資料工廠和自動化管道,以融入典型的大資料操作。為了匯出 SharePoint 文件庫並更快地傳輸檔案,Octo Tempest也會註冊合法的 Microsoft 365 備份解決方案,例如 Veeam、AFI Backup 和 CommVault。

微軟指出,由於Octo Tempest使用了社交工程和多樣化的工具,在環境中檢測或追捕它們並不是一件容易的事。

不過,研究人員提供了一組通用指南,可以説明檢測惡意活動,首先是監視和審查與身份相關的進程、Azure 環境和端點。

最後,微軟表示Octo Tempest的攻擊多是出於經濟動機,藉由竊取加密貨幣、竊取資料勒索或加密系統並要求贖金來實現目標。

本文、圖轉載自BleepingComputer。