Търсене
Close this search box.

Octo Tempest заплашва с физическо насилие като тактика за социално инженерство

Финансово мотивираната хакерска група Octo Tempest, отговорна за атаките срещу MGM Resorts International и Caesars Entertainment през септември, е обявена за „една от най-опасните финансово-престъпни групи“ от екипа за реагиране при инциденти и разузнаване на заплахи на Microsoft.

Групата, известна още като 0ktapus, Scattered Spider и UNC3944, е активна от началото на 2022 г., като първоначално се насочва към телекомуникационни и аутсорсинг компании с атаки за подмяна на SIM карти.

По-късно тя преминава към изнудване с използване на откраднати данни, а към средата на 2023 г. групата си партнира с ALPHV/BlackCat ransomware, като първоначално използва сайта за изтичане на колекции на ALPHV, а по-късно разгръща ransomware, фокусирайки се върху VMWare ESXi сървъри.

В задълбочената публикация на Microsoft за групата и нейния широк набор от тактики, техники и процедури (ТТП) се описва подробно еволюцията на Octo Tempest и гъвкавостта на нейните операции.

„В последните кампании наблюдавахме как Octo Tempest използва разнообразен набор от ТТП, за да се ориентира в сложни хибридни среди, да ексфилтрира чувствителни данни и да ги криптира“, се отбелязва в доклада. „Octo Tempest използва похвати, които много организации нямат в типичните си модели на заплаха, като SMS фишинг, подмяна на SIM карти и усъвършенствани техники за социално инженерство.“

Наръчникът за киберпрестъпления с многобройни оръжия ОКТАПУС

Групата получава първоначален достъп чрез усъвършенствани техники за социален инженеринг, като често се насочва към служители с достъп до мрежови разрешения, включително служители от отдела за поддръжка и помощ.

 

Нападателите се обаждат на тези лица и се опитват да ги убедят да нулират потребителските пароли, да променят или добавят токени за удостоверяване или да инсталират програма за отдалечено наблюдение и управление (RMM).

Групата не пропуска да използва лична информация, като например домашен адрес и фамилия, или дори да отправя физически заплахи, за да принуди жертвите да споделят корпоративни данни за достъп.

По време на началните етапи на атаките Octo Tempest извършва широкомащабно разузнаване, което включва събиране на данни за потребители, групи и информация за устройства, както и проучване на мрежовата архитектура, включването на служителите и политиките за пароли.

Групата използва инструменти, сред които PingCastle и ADRecon за разузнаване на Active Directory, както и PureStorage FlashArray PowerShell SDK за изброяване на масиви за съхранение.

Те достигат дълбоко в мултиклауд средите, хранилищата на код и сървърната инфраструктура, като се стремят да валидират достъпа и да планират опорни точки за следващите фази на атаката – процес, който помага на групата да подобри дейностите си в целевите среди.

Партньорство с руснаци: Безпрецедентно сливане на тактики и инструменти

Кали Гюнтер, старши мениджър на отдела за изследване на киберзаплахите в Critical Start, казва, че връзката на англоговорящата Octo Tempest с рускоезичната група BlackCat означава „безпрецедентно сливане“ на ресурси, технически инструменти и усъвършенствани тактики за изнудване.

„В миналото ясно изразените граници между източноевропейските и англоговорящите киберпрестъпници осигуряваха някакво подобие на регионална демаркация“, обяснява тя. „Сега този алианс позволява на Octo Tempest да действа на по-широка територия, както в географски план, така и по отношение на потенциалните цели.“

Тя отбелязва, че сближаването на източноевропейския кибернетичен опит с езиковите и културните нюанси на англоговорящите филиали засилва локализацията и ефикасността на техните атаки. От нейна гледна точка многостранният подход, който Octo Tempest използва, е особено тревожен.

„Освен техническите си умения, те са овладели изкуството на социалното инженерство, адаптирайки тактиките си така, че да се представят и да се впишат безпроблемно в целевите организации“, казва тя. „Това, съчетано с връзката им със страховитата група за рансъмуер BlackCat, засилва заплахата им многократно.“

Тя отбелязва, че истинското безпокойство се появява, когато се разбере, че те са се преориентирали от конкретни индустрии към по-широк спектър и вече не се страхуват да прибягват до открити физически заплахи, което показва тревожна ескалация на тактиките на киберпрестъпниците.

Тони Гулдинг, евангелист по киберсигурност в Delinea, се съгласява, че комбинацията от сложни техники, широкият обхват на целевите индустрии и агресивният им подход – дори прибягването до физически заплахи – са най-опасните аспекти на групата.

„Организациите трябва да бъдат много загрижени“, обяснява той. „Тъй като английският им език е роден, те могат по-ефективно да провеждат широкообхватни кампании за социално инженерство в сравнение с BlackCat.“

Той казва, че това е особено полезно, когато се използват методите на идиолект, за да се представят убедително за служители по време на телефонни разговори.

„Владеенето на английски език също така им помага да изготвят по-убедителни фишинг съобщения за техните характерни техники за SMS фишинг и подмяна на SIM карти“, добавя той.

Защитата в дълбочина

Гюнтер казва, че защитата срещу финансовите стремежи на Octo Tempest включва поредица от проактивни и реактивни мерки, като се спазва принципът на най-малките привилегии, за да се осигури ограничен достъп.

„Криптовалутите трябва да се съхраняват в офлайн студени портфейли, за да се сведе до минимум излагането на риск онлайн“, съветва тя. „Непрекъснатите системни актуализации и решенията за защита от рансъмуер могат да осуетят повечето случаи на внедряване на рансъмуер.“

Усъвършенстваното наблюдение на мрежата може да открие аномални потоци от данни, които са показателни за потенциални опити за ексфилтрация на данни.

„В случай на пробиви или атаки, установената стратегия за реагиране на инциденти може да направлява незабавните действия“, добавя тя. „Съвместното споделяне на разузнавателна информация за заплахите с колеги от бранша също може да държи организациите в течение на възникващите заплахи и мерки за противодействие.“

Гулдинг посочва, че образованието, обучението за повишаване на осведомеността и техническите контроли, които пазят привилегированите акаунти и защитават достъпа до работни станции и сървъри, са от ключово значение.

„Поставянето на препятствия по пътя на  заплахите по цялата верига на атаката, за да ги отклоним от техния план и да създадем шум, е изключително важно за ранното откриване“, казва той. „Колкото по-напреднала и опитна е групата за атаки, толкова по-добре подготвена ще бъде тя, така че инвестирането в най-добрите инструменти, които включват съвременни възможности, е най-добрият залог.“

 

Източник: DARKReading

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
17 април 2024

Пробивът на паролите в Sisense предизвиква "зло...

Експертите се опасяват, че компрометирането на Sisense, който разпо...
Бъдете социални
Още по темата
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
17/04/2024

Приложението Copilot на Win...

Microsoft твърди, че новото приложение Copilot,...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!