Търсене
Close this search box.

Octo Tempest заплашва с физическо насилие като тактика за социално инженерство

Финансово мотивираната хакерска група Octo Tempest, отговорна за атаките срещу MGM Resorts International и Caesars Entertainment през септември, е обявена за „една от най-опасните финансово-престъпни групи“ от екипа за реагиране при инциденти и разузнаване на заплахи на Microsoft.

Групата, известна още като 0ktapus, Scattered Spider и UNC3944, е активна от началото на 2022 г., като първоначално се насочва към телекомуникационни и аутсорсинг компании с атаки за подмяна на SIM карти.

По-късно тя преминава към изнудване с използване на откраднати данни, а към средата на 2023 г. групата си партнира с ALPHV/BlackCat ransomware, като първоначално използва сайта за изтичане на колекции на ALPHV, а по-късно разгръща ransomware, фокусирайки се върху VMWare ESXi сървъри.

В задълбочената публикация на Microsoft за групата и нейния широк набор от тактики, техники и процедури (ТТП) се описва подробно еволюцията на Octo Tempest и гъвкавостта на нейните операции.

„В последните кампании наблюдавахме как Octo Tempest използва разнообразен набор от ТТП, за да се ориентира в сложни хибридни среди, да ексфилтрира чувствителни данни и да ги криптира“, се отбелязва в доклада. „Octo Tempest използва похвати, които много организации нямат в типичните си модели на заплаха, като SMS фишинг, подмяна на SIM карти и усъвършенствани техники за социално инженерство.“

Наръчникът за киберпрестъпления с многобройни оръжия ОКТАПУС

Групата получава първоначален достъп чрез усъвършенствани техники за социален инженеринг, като често се насочва към служители с достъп до мрежови разрешения, включително служители от отдела за поддръжка и помощ.

 

Нападателите се обаждат на тези лица и се опитват да ги убедят да нулират потребителските пароли, да променят или добавят токени за удостоверяване или да инсталират програма за отдалечено наблюдение и управление (RMM).

Групата не пропуска да използва лична информация, като например домашен адрес и фамилия, или дори да отправя физически заплахи, за да принуди жертвите да споделят корпоративни данни за достъп.

По време на началните етапи на атаките Octo Tempest извършва широкомащабно разузнаване, което включва събиране на данни за потребители, групи и информация за устройства, както и проучване на мрежовата архитектура, включването на служителите и политиките за пароли.

Групата използва инструменти, сред които PingCastle и ADRecon за разузнаване на Active Directory, както и PureStorage FlashArray PowerShell SDK за изброяване на масиви за съхранение.

Те достигат дълбоко в мултиклауд средите, хранилищата на код и сървърната инфраструктура, като се стремят да валидират достъпа и да планират опорни точки за следващите фази на атаката – процес, който помага на групата да подобри дейностите си в целевите среди.

Партньорство с руснаци: Безпрецедентно сливане на тактики и инструменти

Кали Гюнтер, старши мениджър на отдела за изследване на киберзаплахите в Critical Start, казва, че връзката на англоговорящата Octo Tempest с рускоезичната група BlackCat означава „безпрецедентно сливане“ на ресурси, технически инструменти и усъвършенствани тактики за изнудване.

„В миналото ясно изразените граници между източноевропейските и англоговорящите киберпрестъпници осигуряваха някакво подобие на регионална демаркация“, обяснява тя. „Сега този алианс позволява на Octo Tempest да действа на по-широка територия, както в географски план, така и по отношение на потенциалните цели.“

Тя отбелязва, че сближаването на източноевропейския кибернетичен опит с езиковите и културните нюанси на англоговорящите филиали засилва локализацията и ефикасността на техните атаки. От нейна гледна точка многостранният подход, който Octo Tempest използва, е особено тревожен.

„Освен техническите си умения, те са овладели изкуството на социалното инженерство, адаптирайки тактиките си така, че да се представят и да се впишат безпроблемно в целевите организации“, казва тя. „Това, съчетано с връзката им със страховитата група за рансъмуер BlackCat, засилва заплахата им многократно.“

Тя отбелязва, че истинското безпокойство се появява, когато се разбере, че те са се преориентирали от конкретни индустрии към по-широк спектър и вече не се страхуват да прибягват до открити физически заплахи, което показва тревожна ескалация на тактиките на киберпрестъпниците.

Тони Гулдинг, евангелист по киберсигурност в Delinea, се съгласява, че комбинацията от сложни техники, широкият обхват на целевите индустрии и агресивният им подход – дори прибягването до физически заплахи – са най-опасните аспекти на групата.

„Организациите трябва да бъдат много загрижени“, обяснява той. „Тъй като английският им език е роден, те могат по-ефективно да провеждат широкообхватни кампании за социално инженерство в сравнение с BlackCat.“

Той казва, че това е особено полезно, когато се използват методите на идиолект, за да се представят убедително за служители по време на телефонни разговори.

„Владеенето на английски език също така им помага да изготвят по-убедителни фишинг съобщения за техните характерни техники за SMS фишинг и подмяна на SIM карти“, добавя той.

Защитата в дълбочина

Гюнтер казва, че защитата срещу финансовите стремежи на Octo Tempest включва поредица от проактивни и реактивни мерки, като се спазва принципът на най-малките привилегии, за да се осигури ограничен достъп.

„Криптовалутите трябва да се съхраняват в офлайн студени портфейли, за да се сведе до минимум излагането на риск онлайн“, съветва тя. „Непрекъснатите системни актуализации и решенията за защита от рансъмуер могат да осуетят повечето случаи на внедряване на рансъмуер.“

Усъвършенстваното наблюдение на мрежата може да открие аномални потоци от данни, които са показателни за потенциални опити за ексфилтрация на данни.

„В случай на пробиви или атаки, установената стратегия за реагиране на инциденти може да направлява незабавните действия“, добавя тя. „Съвместното споделяне на разузнавателна информация за заплахите с колеги от бранша също може да държи организациите в течение на възникващите заплахи и мерки за противодействие.“

Гулдинг посочва, че образованието, обучението за повишаване на осведомеността и техническите контроли, които пазят привилегированите акаунти и защитават достъпа до работни станции и сървъри, са от ключово значение.

„Поставянето на препятствия по пътя на  заплахите по цялата верига на атаката, за да ги отклоним от техния план и да създадем шум, е изключително важно за ранното откриване“, казва той. „Колкото по-напреднала и опитна е групата за атаки, толкова по-добре подготвена ще бъде тя, така че инвестирането в най-добрите инструменти, които включват съвременни възможности, е най-добрият залог.“

 

Източник: DARKReading

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
Бъдете социални
Още по темата
21/06/2024

Change Healthcare най-после...

UnitedHealth за първи път потвърди какви...
17/06/2024

Microsoft поправи безкликов...

Morphisec предупреждава, че една от уязвимостите,...
16/06/2024

Редмънд обяви големи промен...

Microsoft обяви нови подобрения на киберсигурността...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!