Microsoft cảnh báo Scatter Spider mở rộng từ hoán đổi SIM sang mã độc tống tiền ransomware

www.tuoitre.vn -   24/10/2023 08:00:00 328

Người ta đã quan sát thấy kẻ đe dọa phổ biến có tên Scattered Spider đang mạo danh nhân viên mới được tuyển dụng trong các công ty mục tiêu như một âm mưu nhằm trà trộn vào các quy trình tuyển dụng thông thường và các tài khoản tiếp quản cũng như các tổ chức vi phạm trên toàn thế giới.

Microsoft cảnh báo Scatter Spider mở rộng từ hoán đổi SIM sang mã độc tống tiền ransomware

Microsoft, công ty tiết lộ các hoạt động của nhóm hack có động cơ tài chính, đã mô tả đối thủ này là “một trong những nhóm tội phạm tài chính nguy hiểm nhất”, chỉ ra tính linh hoạt trong hoạt động và khả năng kết hợp lừa đảo qua SMS, hoán đổi SIM và gian lận bàn trợ giúp của nó. mô hình tấn công

Công ty cho biết: “Octo Tempest là một tập thể có động cơ tài chính gồm các tác nhân đe dọa nói tiếng Anh bản địa, nổi tiếng với việc tung ra các chiến dịch trên phạm vi rộng, nổi bật là các kỹ thuật tấn công kẻ thù ở giữa (AiTM), kỹ thuật xã hội và khả năng hoán đổi SIM”.

Điều đáng chú ý là hoạt động do Octo Tempest đại diện được theo dõi bởi các công ty an ninh mạng khác dưới nhiều biệt danh khác nhau, bao gồm 0ktapus, Scatter Swine và UNC3944, đã nhiều lần chỉ ra Okta để có được quyền nâng cao và xâm nhập vào các mạng mục tiêu.

Một trong những điểm nổi bật chính là nhắm mục tiêu vào nhân viên hỗ trợ và trợ giúp thông qua các cuộc tấn công kỹ thuật xã hội để có quyền truy cập ban đầu vào các tài khoản đặc quyền, lừa họ thực hiện đặt lại mật khẩu của nạn nhân và các phương thức xác thực đa yếu tố (MFA).

Các cách tiếp cận khác bao gồm việc mua thông tin xác thực và/hoặc mã thông báo phiên của nhân viên trên thị trường tội phạm ngầm hoặc gọi trực tiếp cho cá nhân đó và kỹ thuật xã hội để người dùng cài đặt tiện ích Quản lý và Giám sát Từ xa (RMM), truy cập cổng đăng nhập giả mạo bằng cách sử dụng bộ công cụ lừa đảo AiTM hoặc xóa mã thông báo FIDO2 của họ.

Các cuộc tấn công ban đầu do nhóm thực hiện nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông di động và các tổ chức gia công quy trình kinh doanh (BPO) để bắt đầu hoán đổi SIM, trước khi bắt đầu kiếm tiền từ quyền truy cập để bán hoán đổi SIM cho các tội phạm khác và thực hiện chiếm đoạt tài khoản của các cá nhân có giá trị ròng cao để trộm tiền điện tử.

Octo Tempest kể từ đó đã đa dạng hóa mục tiêu của mình để bao gồm các nhà cung cấp dịch vụ email và công nghệ, trò chơi, khách sạn, bán lẻ, nhà cung cấp dịch vụ được quản lý (MSP), sản xuất, công nghệ và tài chính, đồng thời nổi lên như một chi nhánh của băng đảng ransomware BlackCat vào giữa năm nay. 2023 để tống tiền nạn nhân.

Nói cách khác, mục tiêu cuối cùng của các cuộc tấn công khác nhau giữa đánh cắp tiền điện tử và lấy cắp dữ liệu để tống tiền và triển khai ransomware.

Microsoft cho biết: “Vào cuối năm 2022 đến đầu năm 2023, […] Octo Tempest bắt đầu kiếm tiền từ các cuộc xâm nhập bằng cách tống tiền các tổ chức nạn nhân vì dữ liệu bị đánh cắp trong các hoạt động xâm nhập của họ và trong một số trường hợp thậm chí còn dùng đến các mối đe dọa vật lý”.

“Trong một số trường hợp hiếm hoi, Octo Tempest sử dụng chiến thuật gây sợ hãi, nhắm mục tiêu vào các cá nhân cụ thể thông qua các cuộc gọi điện thoại và tin nhắn. Những kẻ này sử dụng thông tin cá nhân, chẳng hạn như địa chỉ nhà và tên gia đình, cùng với các mối đe dọa vật lý để ép nạn nhân chia sẻ thông tin đăng nhập để truy cập vào công ty ."

Theo sau một chỗ đứng thành công là những kẻ tấn công thực hiện trinh sát leo thang đặc quyền và môi trường, sau đó được thực hiện bằng các thủ tục chính sách mật khẩu bị đánh cắp, tải xuống hàng loạt nội dung xuất khẩu của người dùng, nhóm và vai trò.

Một mánh khóe đáng chú ý khác là việc sử dụng tài khoản nhân viên an ninh bị xâm phạm trong các tổ chức nạn nhân để làm suy yếu chức năng của các sản phẩm bảo mật nhằm cố gắng lọt vào tầm ngắm, ngoài việc giả mạo các quy tắc hộp thư của nhân viên an ninh để tự động xóa email từ nhà cung cấp.

Kho công cụ và chiến thuật phong phú được Octo Tempest sử dụng, bao gồm đăng ký các thiết bị do tác nhân điều khiển vào phần mềm quản lý thiết bị để vượt qua các biện pháp kiểm soát và phát lại các mã thông báo đã thu hoạch với các tuyên bố MFA hài lòng để vượt qua MFA, là biểu hiện của chuyên môn kỹ thuật sâu rộng và khả năng điều hướng phức tạp của nó. môi trường lai, Redmond nói.

Công ty giải thích thêm: “Một kỹ thuật độc đáo mà Octo Tempest sử dụng là xâm phạm cơ sở hạ tầng VMware ESXi, cài đặt Bedevil backdoor Linux nguồn mở, sau đó khởi chạy các tập lệnh VMware Python để chạy các lệnh tùy ý chống lại các máy ảo được lưu trữ”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 505
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.083
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 952
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 82
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 874
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 99
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

LIÊN HỆ

Thông tin liên hệ