Η Microsoft κυκλοφόρησε λεπτομέρειες για μια αγγλόφωνη hacking ομάδα, την οποία παρακολουθεί ως Octo Tempest. Οι Octo Tempest hackers διαθέτουν προηγμένες δυνατότητες social engineering και πραγματοποιούν ransomware επιθέσεις και εκβιασμούς για κλοπή δεδομένων.
Οι επιθέσεις της Octo Tempest εξελίσσονται σταθερά από τις αρχές του 2022, επεκτείνοντας τη στόχευσή τους σε οργανισμούς που παρέχουν υπηρεσίες τηλεπικοινωνιών, email και υπηρεσίες τεχνολογίας. Οι hackers συνεργάζονται και με την ομάδα ransomware ALPHV/BlackCat.
Ποικιλία επιθέσεων: Από κλοπή λογαριασμού έως ransomware
Αρχικά οι hackers πουλούσαν SIM swaps και έκλεβαν λογαριασμούς ατόμων υψηλού προφίλ με cryptocurrency assets.
Στα τέλη του 2022, όμως, οι Octo Tempest hackers πέρασαν στο phishing, το social engineering, τη μαζική επαναφορά κωδικών πρόσβασης πελατών στοχευμένων οργανισμών και την κλοπή δεδομένων.
Μέσα στο 2023, η ομάδα επιτέθηκε σε εταιρείες στους τομείς του gaming, της φιλοξενίας, του λιανικού εμπορίου, της κατασκευής, της τεχνολογίας και των χρηματοοικονομικών, καθώς και σε managed service providers (MSP).
Δείτε επίσης: Κυβερνοκατασκοπεία: Οι YoroTrooper hackers μπορεί να σχετίζονται με το Καζακστάν
Στη συνέχεια, έγινε affiliate της γνωστής ransomware συμμορίας ALPHV/BlackCat και άρχισε να χρησιμοποιεί το ransomware τόσο για την κλοπή όσο και για την κρυπτογράφηση δεδομένων των θυμάτων.
Η Microsoft λέει ότι οι Octo Tempest hackers δεν δίστασαν να περάσουν και σε άμεσες φυσικές απειλές, για να αποκτήσουν στοιχεία σύνδεσης που θα μπορούσαν να τους βοηθήσουν στις επιθέσεις τους.
Octo Tempest: Τεχνικές
Η Microsoft εκτιμά ότι η Octo Tempest είναι μια καλά οργανωμένη ομάδα που περιλαμβάνει hackers με εκτεταμένες τεχνικές γνώσεις.
Οι hackers συχνά αποκτούν αρχική πρόσβαση σε συστήματα μέσω social engineering που στοχεύει λογαριασμούς τεχνικών διαχειριστών (π.χ. προσωπικό υποστήριξης και γραφείου υποστήριξης).
Έπειτα, ερευνούν την εταιρεία για να εντοπίσουν άτομα που μπορούν να υποδυθούν. Στην πραγματικότητα, μιμούνται τα μοτίβα ομιλίας ατόμων στις τηλεφωνικές κλήσεις.
Με αυτόν τον τρόπο, ξεγελούν τους τεχνικούς διαχειριστές ώστε να πραγματοποιήσουν επαναφορά του κωδικού πρόσβασης και των μεθόδων ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Άλλες μέθοδοι για αρχική πρόσβαση περιλαμβάνουν:
- εξαπάτηση του στόχου για εγκατάσταση λογισμικού απομακρυσμένης παρακολούθησης και διαχείρισης
- κλοπή credentials μέσω ιστότοπων phishing
- αγορά credentials από άλλους εγκληματίες του κυβερνοχώρου
- αποστολή phishing SMS σε υπαλλήλους με συνδέσμους που οδηγούν σε ψεύτικές πύλες σύνδεσης που καταγράφουν τα credentials
- SIM-swapping ή προώθηση κλήσεων
- Άμεσες απειλές βίας
Μόλις αποκτήσουν πρόσβαση, οι Octo Tempest hackers ξεκινούν το στάδιο reconnaissance της επίθεσης, παρακολουθώντας τα συστήματα και συλλέγοντας πληροφορίες που θα επέτρεπαν την κατάχρηση νόμιμων καναλιών για την προώθηση της εισβολής.
Στη συνέχεια, η ομάδα προχωρά στην εξερεύνηση της υποδομής, απαριθμώντας την πρόσβαση και τους πόρους σε περιβάλλοντα cloud, code repositories, server και backup management systems.
Για να κλιμακώσει τα προνόμια, η ομάδα στρέφεται ξανά στο social engineering, το SIM-swapping ή την προώθηση κλήσεων και ξεκινά μια διαδικασία επαναφοράς κωδικού πρόσβασης στο λογαριασμό του στόχου.
Δείτε επίσης: Οι hackers Winter Vivern χρησιμοποιούν Roundcube zero-day για να κλέψουν κυβερνητικά emails
Κατά τη διάρκεια αυτού του βήματος, οι hackers χτίζουν εμπιστοσύνη με το θύμα χρησιμοποιώντας παραβιασμένους λογαριασμούς και δείχνοντας ότι κατανοούν τις διαδικασίες της εταιρείας. Εάν έχουν λογαριασμό διαχειριστή, εγκρίνουν οι ίδιοι αιτήματα για αυξημένες άδειες.
Για όσο διάστημα έχουν πρόσβαση, οι Octo Tempest hackers συνεχίζουν να αναζητούν πρόσθετα credentials για να αποκτήσουν πρόσβαση σε ακόμα περισσότερα συστήματα.
Για να κρύψουν την κακόβουλη δραστηριότητά τους, οι hackers στοχεύουν επίσης τους λογαριασμούς του προσωπικού ασφαλείας, ώστε να απενεργοποιούν προϊόντα και λειτουργίες ασφαλείας.
Επίσης, σύμφωνα με τη Microsoft, οι Octo Tempest hackers χρησιμοποιούν στις επιθέσεις τους:
- εργαλεία ανοιχτού κώδικα: ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.io, Mesh, TacticalRMM, Tailscale, Ngrok, WsTunnel, Rsocx και Socat
- ανάπτυξη εικονικών μηχανών Azure για την ενεργοποίηση της απομακρυσμένης πρόσβασης μέσω εγκατάστασης RMM ή τροποποίησης σε υπάρχοντες πόρους μέσω Azure serial console
- προσθήκη μεθόδων MFA σε υπάρχοντες χρήστες
- χρήση του tunneling tool Twingate, το οποίο αξιοποιεί Azure Container instances ως ιδιωτική σύνδεση (χωρίς έκθεση στο δημόσιο δίκτυο)
Οι hackers μεταφέρουν τα κλεμμένα δεδομένα στους διακομιστές τους χρησιμοποιώντας μια μοναδική τεχνική, η οποία περιλαμβάνει το Azure Data Factory και αυτοματοποιημένους αγωγούς που συνδυάζονται με τυπικά big data operations.
Η Microsoft σημειώνει ότι ο εντοπισμός της ομάδας είναι δύσκολος λόγω των τεχνικών που χρησιμοποιεί. Ωστόσο, οι ερευνητές παρέχουν ένα σύνολο γενικών κατευθυντήριων γραμμών που θα μπορούσαν να βοηθήσουν στην ανίχνευση κακόβουλης δραστηριότητας.
Προστασία
Για να ενισχύσουν την ασφάλεια των ψηφιακών τους συσκευών και δικτύων, οι άνθρωποι μπορούν να ξεκινήσουν εφαρμόζοντας ισχυρούς κωδικούς πρόσβασης. Οι κωδικοί πρόσβασης πρέπει να είναι μεγάλοι, περίπλοκοι και να περιλαμβάνουν συνδυασμό γραμμάτων, αριθμών και ειδικών χαρακτήρων. Επίσης, είναι σημαντικό να χρησιμοποιούνται διαφορετικοί κωδικοί για κάθε ψηφιακή συσκευή και υπηρεσία που χρησιμοποιούν οι άνθρωποι.
Δείτε επίσης: Hackers στοχεύουν ρωσικούς οργανισμούς με backdoor για κλοπή δεδομένων
Ένας άλλος τρόπος για να ενισχυθεί η ασφάλεια των ψηφιακών συσκευών είναι η ενημέρωση του λογισμικού. Οι κατασκευαστές λογισμικού συχνά εκδίδουν ενημερώσεις που περιέχουν διορθώσεις για προβλήματα. Είναι σημαντικό να ελέγχουν οι άνθρωποι τακτικά για ενημερώσεις και να εγκαθιστούν τις τελευταίες εκδόσεις του λογισμικού τους για να προστατεύσουν τις συσκευές τους από γνωστά προβλήματα.
Η χρήση ενός αξιόπιστου λογισμικού ασφαλείας είναι επίσης ζωτικής σημασίας για την προστασία των ψηφιακών συσκευών και δικτύων. Οι άνθρωποι θα πρέπει να εγκαθιστούν ένα αξιόπιστο πρόγραμμα anti-virus και firewall στις συσκευές τους και να τα ενημερώνουν τακτικά. Αυτό θα τους βοηθήσει να ανιχνεύουν και να αποτρέπουν κακόβουλο λογισμικό.
Η προσοχή στην ασφάλεια των δικτύων είναι επίσης σημαντική. Οι άνθρωποι θα πρέπει να χρησιμοποιούν ασφαλείς και κρυπτογραφημένες συνδέσεις Wi-Fi και να απενεργοποιούν την αυτόματη σύνδεση σε ανοικτά δίκτυα. Επίσης, θα πρέπει να απενεργοποιούν την κοινή χρήση αρχείων και εκτυπωτών όταν δεν τα χρησιμοποιούν, καθώς αυτό μπορεί να εκθέσει τα δίκτυά τους σε κινδύνους.
Τέλος, η ευαισθητοποίηση και η προσοχή στην ασφάλεια των ψηφιακών συσκευών και δικτύων είναι ζωτικής σημασίας. Οι χρήστες θα πρέπει να είναι προσεκτικοί με τα email και τα μηνύματα που λαμβάνουν, να αποφεύγουν την κλικ σε ύποπτα συνημμένα αρχεία ή συνδέσμους και να μην αποκαλύπτουν προσωπικές πληροφορίες σε αναξιόπιστες πηγές.
Πηγή: www.bleepingcomputer.com
