Kariyerlerine SIM değiştirme saldırıları ve kripto para birimi dolandırıcılığını desteklemek için sosyal mühendis olarak başlayan ve daha sonra siber şantajla mezun olan, anadili İngilizce konuşan siber suçlulardan oluşan bir çete, mali açıdan motive edilen en tehlikeli siber suçlardan biri olarak hızla ortaya çıkıyor. Microsoft araştırmacıları tarafından çeteyle ilgili açıklanan bilgilere göre, bugün faaliyet gösteren gruplar.
Octo Tempest operasyonu yaklaşık 18 ay önce ortaya çıktı ve SIM takaslarını diğer aktörlere satarak ve yüksek net değere sahip bireylerin kripto hesaplarını ele geçirerek ilk müdahalelerinden para kazanma konusunda bir miktar başarı elde etti. 2023’ün başlarında çete, teknoloji şirketleri de dahil olmak üzere daha büyük kuruluşları hedef almaya, verileri çalmaya ve fidye için tutmaya başladı.
Ancak 2023’ün ortalarından itibaren grup, Rusça konuşan kötü şöhretli ALPHV/BlackCat hizmet olarak fidye yazılımı (RaaS) operasyonunun bir üyesi haline geldiğinde ve fidye yazılımı ekibinin karanlık web sızıntı sitesi. Microsoft’un araştırma ekibi bunun, tarihinde özellikle önemli bir an olduğunu söyledi.
Microsoft, “Tarihsel olarak Doğu Avrupalı fidye yazılımı grupları, ana dili İngilizce olan suçlularla iş yapmayı reddetti” dedi. “[But] Haziran 2023 itibarıyla Octo Tempest, kurbanlara ALPHV/BlackCat fidye yazılımı yüklerini (hem Windows hem de Linux sürümleri) dağıtmaya başladı ve son zamanlarda dağıtımlarını öncelikli olarak VMWare ESXi sunucularına odakladı.
Ekip, “Octo Tempest, doğal kaynaklar, oyun, konaklama, tüketici ürünleri, perakende, yönetilen hizmet sağlayıcılar, üretim, hukuk, teknoloji ve finansal hizmetler dahil olmak üzere gaspı hedef alan sektörlerin kapsamını giderek genişletti” dedi.
Microsoft, Octo Tempest’in muhtemelen UNC3944 (diğer adıyla Scattered Spider, 0ktapus) ile örtüştüğünü söyledi. Her ne kadar Microsoft bunu kendisi söylememiş olsa da, çetenin ALPHV/BlackCat ile bağlantısı göz önüne alındığında, Octo Tempest’in Eylül 2023 Las Vegas kumarhane soygunları ve diğer çeşitli saldırılarla bir bağlantısı olabileceğini bir dereceye kadar güvenle değerlendirmek mümkün. kimlik ve erişim yönetimi (IAM) uzmanı Okta’nın sistemleri aracılığıyla gerçekleştirilir.
Ancak bunun Okta’nın müşterisi olan diğer siber güvenlik firmalarına yönelik halen gelişmekte olan bir dizi saldırıyla ilgisi olduğunu öne süren kanıtlanmış bir bağlantı yok; 1Password, BeyondTrust ve Cloudflare’e yapılan bu saldırılar herhangi bir belirli tehdit aktörüne atfedilmemiştir. bu yazının yazıldığı sırada.
Teknik olarak yetenekli çete
Microsoft, Octo Tempest’in saldırılarının verimli ve iyi organize edilmiş olduğunu, kapsamlı teknik uzmanlık ve kirli işlerini yapan çok sayıda klavye operatörünün olduğunu gösterdiğini söyledi. Çok sayıda ve giderek artan sayıda taktik, teknik ve prosedürden (TTP) yararlanır.
Bu TTP’lerden birkaçı özellikle öne çıkıyor. Ekip, gelişmiş ayrıcalık düzeylerinden yararlanmak için özellikle BT desteği ve yardım masası çalışanlarını hedef alan sosyal mühendislik saldırılarından hoşlanıyor. Saldırıları tespit etmek ve hedeflerine göre uyarlamak için bu tür kurbanları kapsamlı bir şekilde araştırıyorlar, kişisel bilgileri kullanarak onları kandırıyorlar ve hatta telefon görüşmelerinde idiolect’i taklit edecek kadar ileri gidiyorlar.
Bazı durumlarda, özellikle agresif korku tacirliği taktiklerine de başvuruyorlar. Microsoft’un paylaştığı ekran görüntülerinde bir çete üyesinin, bir kurbanın ailesini tehdit ettiği görülüyor. “Eğer seninkini alamazsak [redacted] önümüzdeki 20 dakika içinde giriş yapıldı [sic] Evinize tetikçi gönderiyorum” dediler. “Eğer yapmazsan karın vurulacak [sic] katla şunu [redacted].”
Ayrıca, geleneksel SIM değişimi ve çalışanların telefon numaralarını alarak self-servis şifre sıfırlama işlemini başlatarak ya da yönetici şifrelerini sıfırlamak için yardım masasında sosyal mühendislik yaparak ayrıcalıklarını sıklıkla artırıyorlar.
Çete, kurban ortamlarına girdikten sonra kullanıcıların, grupların ve cihaz bilgilerinin toplu olarak dışarı aktarılması ve ele geçirilen kullanıcının profilinde mevcut olan veri ve kaynakların numaralandırılması da dahil olmak üzere çeşitli eylemler gerçekleştirir. Ayrıca ağ mimarisi, çalışanların katılımı, uzaktan erişim yöntemleri ve kimlik bilgileri politikaları ve kasalarla ilgili verileri sıralıyorlar ve diğer şeylerin yanı sıra çoklu bulut ortamları, kod depoları, sunucu ve yedekleme yönetimi altyapısı aracılığıyla erişimlerini geliştirmeye çalışıyorlar.
Ek olarak çete, güvenlik ürünlerini ve özelliklerini kapatmak ve tespitten kaçınmak için ayrıcalıklarını kullanmaya çalışıyor ve kalıcılık sağlamak için kamuya açık güvenlik araçlarından yararlanıyor. Uç noktalarda kalıcılığı sürdürmek için çok çeşitli uzaktan izleme ve yönetim (RMM) araçları kullanırlar.
Tüm bunların nihai amacı elbette ALPHV/BlackCat dolabının bir çeşidini kullanarak veri hırsızlığı, gasp ve fidye yazılımı dağıtımıdır ve diğer fidye yazılımı çetelerinin çoğunda olduğu gibi, çaldığı veriler genellikle neye erişebildiğine bağlıdır. .
Ancak Octo Tempest, kurbanlarının verilerini kendi Güvenli Dosya Aktarım Protokolü (SFTP) sunucularına sızdırmak için Azure Data Factory platformunu ve otomatik platformu kullanarak daha önce hiç görülmemiş bir teknik kullanıyor; Microsoft, bu yöntemin bunu amaçladığına inanıyor. meşru büyük veri operasyonlarına uyum sağlamak. Ayrıca SharePoint belge kitaplıklarını dışa aktarmak ve sızma sürecini hızlandırmak için CommVault ve Veeam dahil meşru Microsoft 365 yedekleme çözümlerini kaydettikleri de gözlemlendi.
Octo Tempest’i avlamak savunmacılar için zorlu bir görev
Microsoft, çetenin sosyal mühendislik, arazide yaşama ve çeşitli araç setleri gibi teknikleri kullanmasının onları avlamayı özellikle zorlaştırdığını söyledi.
Ancak savunucuların, meşru kullanıcılarla güçlü çatışmaları ortadan kaldırmayla birleştirildiğinde faaliyetlerini yüzeye çıkarmaya çalışmak için kullanabileceği bir dizi genel yönerge vardır. Bu tekniklere ilişkin daha ayrıntılı teknik bilgiler Microsoft’tan edinilebilir.