Microsoft, önemli bir finansal tehdit kuruluşu olan Octo Tempest’i yakından izliyor.
Bu tehdit grubu, dünya çapında gasp için çeşitli stratejiler ve TTP’ler kullanıyor ve bu da onu en karmaşık finansal tehdit gruplarından biri haline getiriyor.
Octo Tempest, ana dili İngilizce olan ve şunları kullanan bir grup: –
Bu grup aşağıdaki tehdit kümeleriyle bağlantılıdır ve 2022’de SIM takasları için telekomünikasyon ve BPO’ları hedef alarak başlamıştır: –
- 0 kat
- Dağınık Örümcek
- UNC3944
SIM takasları satarak ve yüksek net değere sahip kişilerin kripto para hırsızlığı hesaplarını ele geçirerek para kazandılar.
Octo Tempest Finansal Verilere Odaklanıyor
Octo Tempest, erken dönemdeki başarılarına dayanarak taktiklerini ve hedeflerini genişletti. Çalınan veriler için mağdur kuruluşlardan şantaj yaptılar ve bir hizmet olarak ALPHV/BlackCat fidye yazılımına katıldılar.
2023’ün ortalarına gelindiğinde teknoloji ve finansal hizmetler de dahil olmak üzere çeşitli sektörlere fidye yazılımı dağıttılar. Octo Tempest’in yöntemleri arasında SMS kimlik avı, SIM değiştirme ve gelişmiş sosyal mühendislik yer alıyor ve tipik tehdit modellerine meydan okuyor.
Octo Tempest’in son derece organize saldırıları, birden fazla operatörle teknik derinliği sergiliyor.
Octo Tempest, sosyal mühendislik yoluyla teknik yöneticileri hedef alıyor ve kurbanları taklit ederek onları şifre sıfırlama ve MFA değişiklikleri konusunda kandırıyor. Hatta yasal görünmek için yeni işe alınanların kimliğine bürünüyorlar.
Microsoft’un raporuna göre Octo Tempest, iş kimlik bilgilerini almak için bazen insanları fiziksel olarak tehdit ederek ve kişisel bilgileri kullanarak terör taktikleri kullanıyor.
Aşağıda, kullanılan tüm araçlardan bahsettik: –
- PingCastle’ı kullanma
- ADRecon’u kullanma
- Gelişmiş IP Tarayıcıyı Kullanma
- MicroBurst’ı kullanma
- Mimikatz, Hekatomb, Lazagne, gosecretsdump, smbpasswd.py, LinPEAS, ADFSDump’ı kullanma,
- VMAccess Uzantısını Kullanma
- Privacy.sexy’yi kullanma
- ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.io, Mesh, TaktikRMM, Tailscale, Ngrok, WsTunnel, RSocx ve Socat’ı kullanma
- Üçüncü taraf tünel açma aracı Twingate’in kullanımı
Octo Tempest’in hedefi, çeşitli kaynaklardan veri hırsızlığı, dosya barındırma hizmetleri aracılığıyla veri sızdırma ve veri taşıma için Azure Data Factory’den yararlanma gibi çeşitli taktikler kullanarak finansal kazanç sağlamaktır.
Ayrıca veri aktarımı için meşru Microsoft 365 yedekleme çözümlerini kullanıyorlar ve şifreleme, müzakere ve gasp için fidye yazılımı dağıtıyorlar ve bu durum itibar kaybına neden oluyor.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Microsoft Entra ID ve Azure’da ayrıcalıkları hizalayın
- Azure giriş bölgelerini segmentlere ayırın
- Koşullu Erişim politikalarını ve kimlik doğrulama yöntemlerini uygulayın
- Bir kullanıcı eğitimi stratejisi geliştirin ve sürdürün
- Bant dışı iletişim kanallarını kullanın
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.