제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

Octo Tempest Group, 사회 공학적 전술로 신체적 폭력 위협

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 241

재정적 동기를 지닌 해킹 그룹 Octo Tempest가 공격을 담당합니다. MGM 리조트 인터내셔널과 시저스 엔터테인먼트 XNUMX월에는 브랜드화 되었습니다. “가장 위험한 금융범죄 집단 중 하나” Microsoft의 사고 대응 및 위협 인텔리전스 팀에서 제공합니다.

라고도 알려진 그룹 0ktapus, 흩어진 거미, 그리고 UNC3944, 는 2022년 초부터 활동해 왔으며 초기에는 통신 및 아웃소싱 기업을 대상으로 했습니다. SIM 스왑 공격.

나중에는 훔친 데이터를 이용한 강탈 행위로 전환했고, 2023년 중반에 이 그룹은 다음과 파트너십을 맺었습니다. ALPHV/BlackCat 랜섬웨어, 처음에는 ALPHV 컬렉션 유출 사이트를 활용하고 나중에 VMWare ESXi 서버에 초점을 맞춰 랜섬웨어를 배포했습니다.

그룹과 광범위한 전술, 기술 및 절차(TTP)에 대한 Microsoft의 심층 게시물에서는 Octo Tempest의 발전과 운영의 유동성에 대해 자세히 설명합니다.

"최근 캠페인에서 Octo Tempest는 다양한 TTP 배열을 활용하여 복잡한 하이브리드 환경을 탐색하고 민감한 데이터를 유출하고 데이터를 암호화하는 것을 관찰했습니다." 보고서 메모. "Octo Tempest는 SMS 피싱, SIM 스와핑, 고급 사회 공학 기술 등 많은 조직의 일반적인 위협 모델에 없는 기술을 활용합니다."

다중 무장 0ktapus 사이버 범죄 플레이북

이 그룹은 지원 및 헬프 데스크 직원을 포함하여 네트워크 권한에 대한 액세스 권한이 있는 직원을 대상으로 하는 고급 사회 고급 사회 공학 기술을 통해 초기 액세스 권한을 얻습니다.

공격자는 이러한 개인에게 전화를 걸어 사용자 비밀번호를 재설정하고, 인증 토큰을 변경 또는 추가하거나, RMM(원격 모니터링 및 관리) 유틸리티를 설치하도록 유도합니다.

이 그룹은 집 주소, 성 등의 개인 정보를 활용하거나 물리적인 위협을 가하는 것 이상으로 피해자가 회사 액세스 자격 증명을 공유하도록 강요합니다.

공격 초기 단계에서 Octo Tempest는 사용자, 그룹, 기기 정보에 대한 데이터 수집, 네트워크 아키텍처, 직원 온보딩, 비밀번호 정책 탐색 등 광범위한 정찰을 수행합니다.

이 그룹은 Active Directory 정찰을 위해 PingCastle 및 ADRecon을 포함한 도구를 사용하고 스토리지 배열을 열거하기 위해 PureStorage FlashArray PowerShell SDK를 사용합니다.

그들은 다중 클라우드 환경, 코드 저장소 및 서버 인프라에 깊이 접근하여 액세스를 검증하고 후속 공격 단계에 대한 발판을 계획하는 것을 목표로 합니다. 이는 그룹이 대상 환경 내에서 활동을 향상시키는 데 도움이 되는 프로세스입니다.

러시아와의 파트너십: 전례 없는 전술과 도구의 융합

Critical Start의 사이버 위협 연구 수석 관리자인 Callie Guenther는 영어를 사용하는 Octo Tempest가 러시아어를 사용하는 BlackCat 그룹과 제휴한다는 것은 리소스, 기술 도구 및 세련된 랜섬웨어 전술의 "전례 없는 융합"을 의미한다고 말합니다.

“역사적으로 동유럽과 영어권 사이버 범죄자 사이에 유지되는 뚜렷한 경계는 일종의 지역적 경계를 제공하는 것처럼 보였습니다.”라고 그녀는 설명합니다. "이제 이 동맹을 통해 Octo Tempest는 지리적으로나 잠재적인 목표 측면에서 더 넓은 캔버스에서 작전을 수행할 수 있습니다."

그녀는 동유럽 사이버 전문 지식과 영어권 계열사의 언어적, 문화적 차이가 융합되어 공격의 위치 파악과 효율성이 향상된다고 지적합니다.

그녀의 관점에서 보면 Octo Tempest가 사용하는 다각적인 접근 방식은 특히나 놀라운 일입니다.

“그들은 기술적 능력 외에도 사회 공학 기술을 숙달하여 목표 조직을 사칭하고 원활하게 혼합하는 전술을 적용했습니다.”라고 그녀는 말합니다. "이것은 강력한 BlackCat 랜섬웨어 그룹과의 연계와 결합되어 위협의 다양성을 증폭시킵니다."

그녀는 그들이 특정 산업에서 더 넓은 범위로 다양화했으며 이제는 노골적인 물리적 위협에 의지하는 것을 두려워하지 않는다는 사실을 깨닫고 사이버 범죄 전술이 우려스럽게 확대되고 있다는 사실을 깨닫게 될 때 진정한 우려가 나온다고 지적합니다.

Delinea의 사이버 보안 전도사인 Tony Goulding은 정교한 기술, 광범위한 대상 산업, 공격적인 접근 방식(물리적 위협까지 포함)의 혼합이 그룹의 가장 위험한 측면이라는 데 동의합니다.

“조직은 매우 우려해야 합니다.”라고 그는 설명합니다. “영어가 모국어이기 때문에 BlackCat에 비해 광범위한 소셜 엔지니어링 캠페인을 더 효과적으로 시작할 수 있습니다.”

그는 전화 통화 중에 직원을 설득력 있게 사칭하기 위해 바보 같은 방법을 사용할 때 특히 유용하다고 말합니다.

"또한 영어에 능숙하면 대표적인 SMS 피싱 및 SIM 교환 기술에 대한 더욱 설득력 있는 피싱 메시지를 작성하는 데 도움이 됩니다."라고 그는 덧붙입니다.

심층방어

Guenther는 Octo Tempest의 재정적 추구를 방어하려면 제한된 액세스를 보장하기 위해 최소 권한 원칙을 준수하는 일련의 사전 대응적 조치가 필요하다고 말했습니다.

“암호화폐는 온라인 노출을 최소화하기 위해 오프라인 콜드월렛에 보관해야 합니다.”라고 그녀는 조언합니다. “지속적인 시스템 업데이트와 랜섬웨어 방지 솔루션을 통해 대부분의 랜섬웨어 배포를 막을 수 있습니다.”

고급 네트워크 모니터링은 잠재적인 데이터 유출 시도를 나타내는 비정상적인 데이터 흐름을 감지할 수 있습니다.

“보안 침해나 공격이 발생할 경우 확립된 사고 대응 전략을 통해 즉각적인 조치를 취할 수 있습니다.”라고 그녀는 덧붙입니다. “업계 동료들과 협력적인 위협 인텔리전스를 공유하면 조직이 새로운 위협과 대응책을 따라잡을 수 있습니다.”

Goulding은 권한 있는 계정을 보호하고 액세스 워크스테이션과 서버를 보호하는 교육, 인식 훈련, 기술 제어가 핵심이라고 지적합니다.

“공격 체인 전반에 걸쳐 위협 행위자의 경로에 장애물을 배치하여 공격자의 플레이북을 방해하고 소음을 발생시키는 것은 조기 탐지에 매우 중요합니다.”라고 그는 말합니다. "공격 그룹이 더욱 발전하고 능숙할수록 더 잘 준비될 수 있으므로 최신 기능을 포함하는 최고의 도구에 투자하는 것이 최선의 선택입니다."

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.