Компания Microsoft опубликовала подробный профиль англоязычного агента угроз, обладающего развитыми возможностями социальной инженерии и известного как Octo Tempest, который атакует компании с целью вымогательства данных и создания программ-вымогателей.
С начала 2022 года атаки Octo Tempest постоянно развивались: их объектами стали организации, предоставляющие услуги кабельных телекоммуникаций, электронной почты и технические сервисы, а также сотрудничающие с группой ALPHV/BlackCat, занимающейся разработкой вымогательского ПО.
От кражи учетных записей до ransomware
Изначально угрожающий агент был замечен в продаже SIM-обменников и краже аккаунтов высокопоставленных лиц с криптовалютными активами.
В конце 2022 года Octa Tempest перешла к фишингу, социальной инженерии, массовому сбросу паролей для клиентов взломанных операторов связи и краже данных.
В начале этого года группа атаковала компании игрового, гостиничного, розничного, производственного, технологического и финансового секторов, а также провайдеров управляемых услуг (MSP).
Став филиалом ALPHV/BlackCat, Octa Tempest развернула программу-вымогатель как для кражи, так и для шифрования данных жертв.
Группа использовала накопленный опыт для создания более сложных и агрессивных атак, а также начала монетизировать вторжения, вымогая деньги у жертв после кражи данных.
По данным Microsoft, в некоторых случаях Octo Tempest также использовала прямые физические угрозы для получения логинов, которые позволяли продвинуть атаку.
По словам представителей Microsoft, Octo Tempest стала филиалом компании ALPHV/BlackCat, предоставляющей услуги RaaS (ransomware-as-a-service), и к июню начала развертывать полезную нагрузку как для Windows, так и для Linux, уделяя в последнее время особое внимание серверам VMware ESXi.
"Это примечательно тем, что исторически сложилось так, что восточноевропейские группы, занимающиеся выкупным ПО, отказывались иметь дело с англоязычными преступниками", - Microsoft.
Последние атаки этой группы направлены на организации различных отраслей, включая игорный бизнес, добычу природных ресурсов, гостиничный бизнес, производство потребительских товаров, розничную торговлю, поставщиков управляемых услуг, производство, юриспруденцию, технологии и финансовые услуги.
Технологии атаки Octo Tempest
По оценке Microsoft, Octo Tempest представляет собой хорошо организованную группу, в которую входят участники с обширными техническими знаниями и несколькими операторами, работающими с клавиатурой.
Хакеры часто получают первоначальный доступ с помощью продвинутой социальной инженерии, которая нацелена на учетные записи технических администраторов (например, сотрудников службы поддержки и справочной службы), обладающих достаточными полномочиями для проведения атаки.
Они изучают компанию, чтобы определить цели, за которые можно выдать себя, вплоть до имитации речевых оборотов человека при телефонных звонках.
Таким образом, они обманывают технических администраторов, заставляя их выполнить сброс пароля и сбросить многофакторную аутентификацию (MFA).
Другие методы получения первоначального доступа включают:
- обманом заставить объект установить программное обеспечение для удаленного мониторинга и управления
- кража логинов с помощью фишинговых сайтов
- покупка учетных данных или сеансовых маркеров у других злоумышленников
- SMS-фишинг сотрудников со ссылками на поддельные порталы для входа в систему, которые позволяют получить учетные данные
- подмена SIM-карт или переадресация звонков
- прямые угрозы применения насилия.
Получив достаточный доступ, хакеры Octo Tempest приступают к разведывательному этапу атаки: перечисляют хосты и сервисы, собирают информацию, позволяющую использовать легитимные каналы для продвижения вторжения.
"Первоначальный массовый экспорт пользователей, групп и информации об устройствах сопровождается перечислением данных и ресурсов, легко доступных для профиля пользователя в инфраструктуре виртуальных рабочих станций или корпоративных ресурсов" - Microsoft.
Затем Octo Tempest приступает к изучению инфраструктуры, перечисляя доступ и ресурсы в облачных средах, репозиториях кода, системах управления серверами и резервными копиями.
Для повышения привилегий злоумышленники вновь прибегают к социальной инженерии, подмене SIM-карт или переадресации звонков и инициируют самостоятельный сброс пароля учетной записи объекта атаки.
На этом этапе хакеры устанавливают доверие с жертвой, используя скомпрометированные учетные записи и демонстрируя понимание процедур компании. Если у них есть учетная запись менеджера, то они сами утверждают запросы на повышение прав доступа.
Пока у них есть доступ, Octo Tempest продолжает искать дополнительные учетные данные, чтобы расширить сферу своего влияния. Они используют такие инструменты, как Jercretz и TruffleHog, для автоматизации поиска открытых ключей, секретов и паролей в хранилищах кода.
Чтобы не оставлять следов, хакеры также используют учетные записи сотрудников служб безопасности, что позволяет им отключать продукты и функции защиты.
"Используя скомпрометированные учетные записи, угрожающий субъект применяет технологии EDR и управления устройствами для предоставления вредоносных инструментов, развертывания RMM-программ, удаления или ухудшения качества продуктов безопасности, кражи конфиденциальных файлов (например, файлов с учетными данными, баз данных обмена сигнальными сообщениями и т.д.) и развертывания вредоносных полезных нагрузок" - Microsoft.
По данным Microsoft, Octo Tempest пытается скрыть свое присутствие в сети, подавляя оповещения об изменениях и модифицируя правила почтового ящика для удаления писем, которые могут вызвать у жертвы подозрения в нарушении.
Исследователи приводят следующие дополнительные инструменты и методы, которые Octo Tempest использует в своих атаках:
- инструменты с открытым исходным кодом: ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.io, Mesh, TacticalRMM, Tailscale, Ngrok, WsTunnel, Rsocx и Socat
- развертывание виртуальных машин Azure для обеспечения удаленного доступа с помощью установки RMM или модификации существующих ресурсов с помощью последовательной консоли Azure
- добавление методов MFA для существующих пользователей
- использование инструмента туннелирования Twingate, который использует экземпляры Azure Container в качестве частного коннектора (без доступа к публичной сети)
Кроме того, хакеры переносят похищенные данные на свои серверы, используя уникальную методику, в которой задействованы Azure Data Factory и автоматизированные конвейеры, не отличающиеся от типичных операций с большими данными.
Для экспорта библиотек документов SharePoint и более быстрой передачи файлов злоумышленники часто регистрируют легитимные решения для резервного копирования Microsoft 365, такие как Veeam, AFI Backup и CommVault.
В Microsoft отмечают, что обнаружение или поиск этого агента угроз в среде является непростой задачей из-за использования методов социальной инженерии, "живых" технологий и разнообразного инструментария.
Однако исследователи предлагают набор общих рекомендаций, которые могут помочь в обнаружении вредоносной активности, которая начинается с мониторинга и проверки процессов, связанных с идентификацией, сред Azure и конечных точек.
Octo Tempest имеет финансовую мотивацию и достигает своих целей путем кражи криптовалюты, вымогательства данных или шифрования систем с требованием выкупа.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
