微软发布了一个以英语为母语的威胁行为者的详细资料,该威胁行为者具有先进的社会工程能力,被追踪为 Octo Tempest,该威胁行为者的目标是进行数据勒索和勒索软件攻击的公司。
自 2022 年初以来,Octo Tempest 的攻击稳步发展,将攻击目标扩大到提供有线电信、电子邮件和技术服务的组织,并与 ALPHV/BlackCat 勒索软件组织合作。
从帐户盗窃到勒索软件
最初观察到威胁行为者出售 SIM 卡交换并窃取拥有加密货币资产的知名人士的账户。
黑客通常通过高级社会工程获得初始访问权限,该社会工程以具有足够权限的技术管理员(例如支持和服务台人员)的帐户为目标,以进一步实施攻击。
他们对公司进行研究,以确定可以模仿的目标,达到模仿电话中个人的语音模式的程度。
通过这样做,他们诱骗技术管理员执行密码重置并重置多重身份验证 (MFA) 方法。
初始访问的其他方法包括:
- 诱骗目标安装远程监控和管理软件
- 通过网络钓鱼网站窃取登录信息
- 从其他网络犯罪分子那里购买凭证或会话令牌
- 短信网络钓鱼员工带有可捕获凭据的虚假登录门户的链接
- SIM 卡交换或呼叫转移
- 直接暴力威胁
一旦获得足够的访问权限,Octo Tempest 黑客就会通过枚举主机和服务并收集允许滥用合法通道进行入侵的信息来开始攻击的侦察阶段。
“用户、组和设备信息的初始批量导出之后,紧随其后的是在虚拟桌面基础架构或企业托管资源中枚举可供用户配置文件随时使用的数据和资源”- Microsoft
然后,Octo Tempest 继续探索基础设施,枚举跨云环境、代码存储库、服务器和备份管理系统的访问和资源。
为了提升权限,威胁行为者再次求助于社会工程、SIM 交换或呼叫转接,并启动目标帐户的自助密码重置。
在此步骤中,黑客通过使用受损帐户并表现出对公司程序的了解来与受害者建立信任。如果他们拥有经理帐户,他们会自行批准增加权限的请求。
只要他们有访问权限,Octo Tempest 就会继续寻找其他凭证来扩大他们的影响力。他们使用 Jercretz 和 TruffleHog 等工具来自动搜索代码存储库中的明文密钥、机密和密码。
为了隐藏自己的踪迹,黑客还针对安全人员的帐户,这使他们能够禁用安全产品和功能。
“利用受感染的帐户,威胁行为者利用 EDR 和设备管理技术来允许恶意工具、部署 RMM 软件、删除或损害安全产品、窃取敏感文件的数据(例如带有凭据的文件、信号消息数据库等),并部署恶意负载”——微软
据微软称,Octo Tempest 试图通过抑制更改警报并修改邮箱规则来删除可能引起受害者怀疑存在违规行为的电子邮件来隐藏其在网络上的存在。
研究人员提供了 Octo Tempest 在攻击中使用的以下附加工具和技术:
- 开源工具: ScreenConnect、 FleetDeck、 AnyDesk、 RustDesk、 Splashtop、 Pulseway、 TightVNC、LummaC2、Level.io、Mesh、 TacticalRMM、 Tailscale、 Ngrok、 WsTunnel、 Rsocx和 Socat
- 部署 Azure 虚拟机以通过 RMM 安装实现远程访问或通过 Azure 串行控制台修改现有资源
- 向现有用户添加 MFA 方法
- 使用隧道工具 Twingate,该工具利用 Azure 容器实例作为专用连接器(不暴露公共网络)
黑客还使用一种独特的技术将窃取的数据转移到他们的服务器,其中涉及 Azure 数据工厂和自动化管道,以融入典型的大数据操作。
为了导出 SharePoint 文档库并更快地传输文件,攻击者经常注册合法的 Microsoft 365 备份解决方案,例如 Veeam、AFI Backup 和 CommVault。
微软指出,由于使用了社会工程、靠地生活技术和多样化的工具,在环境中检测或追捕这种威胁行为者并不是一件容易的事。
不过,研究人员提供了一组通用指南,可以帮助检测恶意活动,首先是监视和审查与身份相关的进程、Azure 环境和端点。
Octo Tempest 出于经济动机,通过窃取加密货币、窃取数据勒索或加密系统并索要赎金来实现其目标。
转自安全客,原文链接:https://www.anquanke.com/post/id/291047
封面来源于网络,如有侵权请联系删除