Saldırılardan sorumlu olan, finansal motivasyona sahip bilgisayar korsanlığı grubu Octo Tempest MGM Resorts International ve Caesars Entertainment Eylül ayında markalaştı “En tehlikeli mali suç gruplarından biri” Microsoft'un Olay Müdahalesi ve Tehdit İstihbaratı ekibi tarafından.
Grup olarak da bilinir 0 tapus, Dağınık Örümcek ve UNC39442022'nin başından bu yana faaliyet gösteriyor ve başlangıçta telekomünikasyon ve dış kaynak kullanan şirketleri hedef alıyor. SIM takas saldırıları.
Daha sonra çalınan verileri kullanarak şantaj yapmaya yöneldi ve 2023'ün ortalarında grup, ALPHV/BlackCat fidye yazılımı, başlangıçta ALPHV Collections sızıntı sitesinden yararlanıyor ve daha sonra VMWare ESXi sunucularına odaklanarak fidye yazılımını dağıtıyor.
Microsoft'un grup ve grubun kapsamlı taktikleri, teknikleri ve prosedürleri (TTP'ler) hakkındaki ayrıntılı gönderisi, Octo Tempest'in evrimini ve operasyonlarının akışkanlığını ayrıntılarıyla anlatıyor.
"Son kampanyalarda Octo Tempest'in karmaşık hibrit ortamlarda gezinmek, hassas verileri sızdırmak ve verileri şifrelemek için çok çeşitli TTP'lerden yararlandığını gözlemledik." rapor notları. “Octo Tempest, SMS kimlik avı, SIM değiştirme ve gelişmiş sosyal mühendislik teknikleri gibi pek çok kuruluşun tipik tehdit modellerinde sahip olmadığı ticari beceriden yararlanıyor.”
Çok Silahlı 0ktapus Siber Suçların Başucu Kitabı
Grup, ilk erişimi gelişmiş sosyal ileri sosyal mühendislik teknikleri yoluyla elde ediyor ve genellikle destek ve yardım masası personeli de dahil olmak üzere ağ izinlerine erişimi olan çalışanları hedef alıyor.
Saldırganlar bu kişileri arayarak onları kullanıcı parolalarını sıfırlamaya, kimlik doğrulama belirteçlerini değiştirmeye veya eklemeye ya da bir uzaktan izleme ve yönetim (RMM) yardımcı programı yüklemeye ikna etmeye çalışır.
Grup, kurbanları kurumsal erişim kimlik bilgilerini paylaşmaya zorlamak için ev adresleri ve aile adları gibi kişisel bilgilerden yararlanmanın ve hatta fiziksel tehditlerde bulunmanın ötesine geçmiyor.
Saldırıların ilk aşamalarında Octo Tempest, kullanıcılar, gruplar ve cihaz bilgileri hakkında veri toplamayı ve ağ mimarisini, çalışanların katılımını ve şifre politikalarını keşfetmeyi içeren kapsamlı bir keşif gerçekleştiriyor.
Grup, Active Directory keşfi için PingCastle ve ADRecon ve depolama dizilerini numaralandırmak için PureStorage FlashArray PowerShell SDK gibi araçları kullanıyor.
Çoklu bulut ortamlarının, kod depolarının ve sunucu altyapısının derinliklerine ulaşarak erişimi doğrulamayı ve sonraki saldırı aşamaları için dayanak noktaları planlamayı amaçlıyorlar; bu süreç, grubun hedeflenen ortamlar içindeki faaliyetlerini geliştirmesine yardımcı olan bir süreç.
Ruslarla Ortaklık: Taktiklerin ve Araçların Eşi görülmemiş Birleşimi
Critical Start'ın siber tehdit araştırmasından sorumlu kıdemli yöneticisi Callie Guenther, İngilizce konuşan Octo Tempest'in Rusça konuşan BlackCat grubuyla olan ilişkisinin, kaynakların, teknik araçların ve gelişmiş fidye yazılımı taktiklerinin "benzeri görülmemiş bir birleşimi" anlamına geldiğini söylüyor.
"Tarihsel olarak, Doğu Avrupalı ve İngilizce konuşan siber suçlular arasında korunan farklı sınırlar, bir tür bölgesel sınır çizgisi sağlıyordu" diye açıklıyor. "Artık bu ittifak Octo Tempest'in hem coğrafi hem de potansiyel hedefler açısından daha geniş bir alanda faaliyet göstermesine olanak sağlıyor."
Doğu Avrupa siber uzmanlığının İngilizce konuşan bağlı kuruluşların dilsel ve kültürel nüanslarıyla yakınlaşmasının, saldırıların yerelliğini ve etkinliğini artırdığını belirtiyor.
Onun bakış açısına göre Octo Tempest'in kullandığı çok yönlü yaklaşım özellikle endişe verici.
"Teknik becerilerinin ötesinde, sosyal mühendislik sanatında ustalaştılar, taktiklerini taklit etme ve hedeflenen kuruluşlara sorunsuz bir şekilde uyum sağlama konusunda uyarladılar" diyor. "Bu, müthiş BlackCat fidye yazılımı grubuyla uyumlarıyla birleştiğinde, tehdit çeşitliliğini artırıyor."
Kendisi, asıl endişenin, belirli sektörlerden daha geniş bir yelpazeye yayıldıklarını ve artık doğrudan fiziksel tehditlere başvurmaktan korkmadıklarını fark ettiklerinde ortaya çıktığını, bunun da siber suç taktiklerinde endişe verici bir artışa işaret ettiğini belirtiyor.
Delinea'nın siber güvenlik savunucusu Tony Goulding, karmaşık tekniklerin, hedeflenen geniş sektör kapsamının ve saldırgan yaklaşımlarının (hatta fiziksel tehditlere başvurmanın) grubun en tehlikeli yönleri olduğunu kabul ediyor.
"Kuruluşların çok endişelenmesi gerekiyor" diye açıklıyor. "Anadili İngilizce olan bu kişiler, BlackCat'e kıyasla geniş kapsamlı sosyal mühendislik kampanyalarını daha etkili bir şekilde başlatabiliyorlar."
Bunun özellikle telefon görüşmeleri sırasında çalışanları ikna edici bir şekilde taklit etmek için idiolect yöntemlerini kullanırken faydalı olduğunu söylüyor.
"İngilizce yeterliliği aynı zamanda SMS kimlik avı ve SIM değiştirme teknikleri için daha ikna edici kimlik avı mesajları oluşturmalarına da yardımcı oluyor" diye ekliyor.
Derinlemesine Savunma
Günther, Octo Tempest'in mali uğraşlarına karşı savunmanın, sınırlı erişim sağlamak için en az ayrıcalık ilkesine bağlı kalarak bir dizi proaktif ve reaktif önlemi gerektirdiğini söylüyor.
"Çevrimiçi maruziyeti en aza indirmek için kripto para birimleri çevrimdışı soğuk cüzdanlarda saklanmalıdır" tavsiyesinde bulunuyor. "Sürekli sistem güncellemeleri ve fidye yazılımına karşı koruma çözümleri, çoğu fidye yazılımı dağıtımını engelleyebilir."
Gelişmiş ağ izleme, olası veri sızdırma girişimlerinin göstergesi olan anormal veri akışlarını tespit edebilir.
"İhlal veya saldırı durumunda, yerleşik bir olay müdahale stratejisi acil eylemlere rehberlik edebilir" diye ekliyor. "Sektördeki benzerleriyle işbirliğine dayalı tehdit istihbaratı paylaşımı, kuruluşların yeni ortaya çıkan tehditler ve karşı önlemler konusunda güncel kalmasını da sağlayabilir."
Goulding, ayrıcalıklı hesapları koruyan ve iş istasyonlarına ve sunuculara erişimi koruyan eğitim, farkındalık eğitimi ve teknik kontrollerin çok önemli olduğuna dikkat çekiyor.
"Saldırı zinciri boyunca tehdit aktörlerinin yollarına engeller koymak, onları taktiklerinden saptırmak ve gürültü çıkarmak erken tespit açısından son derece önemlidir" diyor. "Saldırı grubu ne kadar gelişmiş ve yetkin olursa, o kadar hazırlıklı olurlar; bu nedenle, modern yetenekleri içeren en iyi araçlara yatırım yapmak en iyi seçeneğinizdir."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/threat-intelligence/octo-tempest-group-threatens-physical-violence-social-engineering-tactic
