Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
Octo Tempest Las Vegas ve Twilio’yu Hackledi ve BlackCat’e Bağlandı
Prajeet Nair (@prajeetspeaks) •
25 Ekim 2023
Finansal motivasyona sahip bir bilgisayar korsanlığı grubu giderek daha saldırgan hale geliyor ve bu da Microsoft’un onu “en tehlikeli mali suç gruplarından biri” olarak adlandırmasına yol açıyor.
Octo Tempest, aynı zamanda şu şekilde de takip edilir: Microsoft Çarşamba günkü bir blog yazısında, UNC3944 ve 0ktapus’un yalnızca aylar önce Rusça konuşan fidye yazılımı grubu BlackCat’in İngilizce konuşan nadir üyesi haline geldiğini yazdı. “Tarihsel olarak Doğu Avrupalı fidye yazılımı grupları, ana dili İngilizce olan suçlularla iş yapmayı reddetti.”
Octo Tempest saldırıları iyi organize edilmiş ve verimlidir; “kapsamlı teknik derinliğin ve birden fazla klavye operatörünün elinin altında olduğunun göstergesidir.”
Siber savunucular, SIM takası için mobil telekomünikasyon ve iş süreçlerinde dış kaynak sağlayan kuruluşları hedef alan grubu ilk kez 2022’nin başlarında fark etti. Mandiant, Eylül ayında Las Vegas kumarhanelerine yapılan fidye yazılımı saldırılarının izini sürerek grubun izini sürdü (bkz: Caesars Entertainment’ın Saldırganlara Fidye Ödediği Bildirildi).
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Aynı zamanda, aralarında müşteri etkileşimi platformu Twilio ve e-posta servis sağlayıcısı Mailchimp’in de bulunduğu 130’dan fazla kuruluşun riske attığı 2022 kampanyasının da arkasındaydı (bkz.: Twilio ve Mailchimp İhlalleri Büyük Kimlik Avı Çabalarıyla Bağlantılı).
Haziran ayında Octo Tempest, Windows ve Linux sistemleri için BlackCat tarafından geliştirilen (Alphv olarak da bilinir) fidye yazılımı yüklerini dağıtmaya başladı ve yakın zamanda VMWare ESXi sunucularına odaklandı.
Octo Tempest’in kablolu telekomünikasyon, e-posta ve teknoloji kuruluşlarını hedef aldığı biliniyordu. Artık doğal kaynaklar, oyun, konaklama, tüketici ürünleri, perakende, yönetilen hizmet sağlayıcılar, imalat, hukuk, teknoloji ve finansal hizmetleri içeren, şantaj hedefi olan sektörlerin kapsamını genişletti.
İlk Erişim
Octo Tempest, kuruluş hakkında araştırma yaptıktan sonra destek ve yardım masası personelini hedef alan sosyal mühendislik saldırıları başlatıyor.
Potansiyel hedefleri tanımlar ve kurbanların kimliğine bürünür, “telefon görüşmelerinde idiolect’i taklit eder ve teknik yöneticileri şifre sıfırlamaları ve çok faktörlü kimlik doğrulama yöntemlerini sıfırlamaları için kandırmak için kişisel olarak tanımlanabilir bilgileri anlar.”
Bilgisayar korsanları, normal işe alım süreçlerine uyum sağlamak için yeni işe alınan çalışanların kimliğine bürünüyor. Öncelikle aşağıdaki yöntemlerden birini kullanarak bir kuruluşa ilk erişimi elde ederler:
- Uzaktan izleme ve yönetim yardımcı programının kurulması;
- Ortadaki düşman araç setini kullanarak sahte giriş portalı ile yapılandırılmış bir siteye gitmek;
- FIDO2 jetonlarını kaldırmak;
- Bir çalışanın kimlik bilgilerini veya oturum jetonlarını suç piyasasından satın almak;
- Ortadaki rakip araç seti kullanılarak sahte giriş portalı ile yapılandırılmış bir siteye bağlantı içeren SMS kimlik avı çalışan telefon numaraları;
- SIM değişimini başlatmak veya çalışanın telefon numarasına çağrı numarası yönlendirmeyi ayarlamak için çalışanın mobil telekomünikasyon ve iş süreci dış kaynak kuruluşlarına önceden mevcut erişimini kullanmak. Saldırganlar, çalışanın telefon numarasının kontrolünü ele geçirdikten sonra kullanıcının hesabında self-servis parola sıfırlama işlemini başlatır;
- Octo Tempest nadir durumlarda korku tacirliği taktiklerine başvuruyor; telefon görüşmeleri ve mesajlar yoluyla belirli bireyleri hedef alıyor ve mağdurları kurumsal erişim için kimlik bilgilerini paylaşmaya zorlamak amacıyla fiziksel tehditler uyguluyor.
Saldırganlar, hedeflenen ortamlara daha fazla erişim sağlamak için “çeşitli numaralandırma ve bilgi toplama eylemleri” gerçekleştirerek saldırılarına başlar ve saldırı zincirinde daha sonra yapılacak eylemler için meşru kanalları kötüye kullanır.
Microsoft, “Kullanıcıların, grupların ve cihaz bilgilerinin ilk toplu dışa aktarımını, sanal masaüstü altyapısı veya kurumsal olarak barındırılan kaynaklar içinde kullanıcının profiline hazır olarak sunulan veri ve kaynakların numaralandırılması takip ediyor” dedi.
Octo Tempest, ağ mimarisi, çalışanların katılımı, uzaktan erişim yöntemleri, şifre politikaları ve kimlik bilgileri kasalarıyla ilgili belgeleri belirlemek amacıyla bilgi depolarında geniş aramalar gerçekleştirmek için dahili ağlara erişimini kullanıyor.
Bulut ortamları, kod depoları, sunucu ve yedekleme yönetimi altyapısı genelinde erişimi ve kaynakları numaralandırarak çoklu bulut ortamları aracılığıyla keşif gerçekleştirir. Bu, tehdit aktörünün erişimi doğruladığı, veritabanlarının ve depolama konteynerlerinin kaydını tuttuğu ve saldırının sonraki aşamalarına yardımcı olacak dayanak noktaları planladığı zamandır.
Araştırmacılar, “Octo Tempest’in hedefi finansal olarak motive olmaya devam ediyor, ancak endüstriler arasında gözlemlenen para kazanma teknikleri, kripto para birimi hırsızlığı ile gasp ve fidye yazılımı dağıtımı için veri sızdırma arasında değişiklik gösteriyor” dedi.
Veri Sızıntısı
Microsoft, Octo Tempest’in, DBeaver, MongoDB Compass, Azure SQL Sorgu Düzenleyicisi ve Cerebrata gibi meşru yönetim istemcilerini kullanarak, SharePoint, SQL veritabanları, bulut depolama blobları/paketleri ve e-posta dahil olmak üzere kod depolarından, büyük belge yönetimi ve depolama sistemlerinden verilere eriştiğini buldu. bağlantı ve toplama amacı.
Tehdit aktörü, veri sızıntısı için GoFile.io, Sh.Azl, StorjShare, Temp.sh, MegaSync, Paste.ee, Backblaze ve AWS S3 klasörleri olabilecek anonim bir dosya barındırma hizmeti kullanıyor.
Microsoft, “Octo Tempest, harici aktör tarafından barındırılan Güvenli Dosya Aktarım Protokolü sunucularına veri çıkarmak için veri taşıma platformu Azure Data Factory’yi ve otomatik işlem hatlarını kullanarak benzersiz bir teknik kullanıyor ve tipik büyük veri operasyonlarına uyum sağlamayı hedefliyor” dedi.