摘要: 被称为Scattered Spider的多产威胁行为者被观察到在目标公司中冒充新雇用的员工,作为一种策略,以融入正常的雇用流程和收购账户,并违反世界各地的组织。 微软披露了以经济为动机的黑客团队的活动,将对手描述为“最危险的金融犯罪集团之一”,称其运营流动性以...
被称为Scattered Spider的多产威胁行为者被观察到在目标公司中冒充新雇用的员工,作为一种策略,以融入正常的雇用流程和收购账户,并违反世界各地的组织。
微软披露了以经济为动机的黑客团队的活动,将对手描述为“最危险的金融犯罪集团之一”,称其运营流动性以及将短信钓鱼,SIM卡交换和帮助台欺诈纳入其攻击模型的能力。
“Octo Tempest是一个以英语为母语的威胁行为者的经济动机集体,以发起广泛的活动而闻名,这些活动突出了中间对手(AiTM)技术,社会工程和SIM卡交换功能,”该公司表示。
值得注意的是,Octo Tempest所代表的活动被其他网络安全公司以各种绰号跟踪,包括0ktapus,Scatter Swine和UNC3944,后者多次挑选Okta以获得提升的权限并渗透目标网络。
其中一个主要特征是通过社会工程攻击来锁定支持和帮助台人员,以获得对特权帐户的初始访问权限,欺骗他们重置受害者的密码和多因素身份验证(MFA)方法。
其他方法需要在犯罪地下市场上购买员工的凭据和/或会话令牌,或者直接呼叫个人并对用户进行社会工程,以安装远程监控和管理(RMM)实用程序,使用AiTM网络钓鱼工具包访问虚假登录门户,或删除他们的FIDO 2令牌。
该组织发起的最初攻击针对移动的电信提供商和业务流程外包(BPO)组织,以启动SIM交换,然后将SIM交换出售给其他犯罪分子并对高净值个人进行账户接管以盗窃加密货币。
SIM Swaps to Ransomware
此后,Octo Tempest将其目标多样化,包括电子邮件和技术服务提供商,游戏,酒店,零售,管理服务提供商(MSP),制造业,技术和金融行业,同时在2023年年中成为BlackCat勒索软件团伙的附属公司,以勒索受害者。
换句话说,攻击的最终目标在加密货币盗窃和勒索和勒索软件部署的数据泄露之间各不相同。
2022年底至2023年初,[…] Octo Tempest开始通过勒索受害者组织在入侵行动中窃取的数据来实现入侵货币化,在某些情况下甚至诉诸物理威胁,”微软说。
“在极少数情况下,Octo Tempest采取了制造恐惧的策略,通过电话和短信针对特定的个人。这些参与者使用家庭地址和姓氏等个人信息,沿着人身威胁,强迫受害者共享企业访问凭据。”
成功立足之后,攻击者会对环境进行侦察并提升权限,后者是通过窃取密码策略程序、批量下载用户、组和角色导出来完成的。
另一个值得注意的谍报技巧是使用受害组织内受损的安全人员帐户来损害正常运行的安全产品,试图在雷达下飞行,除了篡改安全人员邮箱规则以自动删除来自供应商的电子邮件之外。
Octo Tempest采用的广泛的工具和策略,包括将演员控制的设备注册到设备管理软件中以绕过控制,并在满足MFA要求的情况下重放收获的令牌以绕过MFA,这表明其广泛的技术专业知识及其驾驭复杂混合环境的能力,雷德蒙说。
该公司进一步解释说:“Octo Tempest使用的一种独特技术是破坏VMware的基础设施,安装开源Linux后门Bedevil,然后启动VMware Python脚本来对内置的虚拟机运行任意命令。”
稿源:TheHackerNews.com、翻译:游侠安全网
