Microsoft cảnh báo Scatter Spider mở rộng từ hoán đổi SIM sang mã độc tống tiền ransomware

www.tuoitre.vn -   24/10/2023 08:00:00 405

Người ta đã quan sát thấy kẻ đe dọa phổ biến có tên Scattered Spider đang mạo danh nhân viên mới được tuyển dụng trong các công ty mục tiêu như một âm mưu nhằm trà trộn vào các quy trình tuyển dụng thông thường và các tài khoản tiếp quản cũng như các tổ chức vi phạm trên toàn thế giới.

Microsoft cảnh báo Scatter Spider mở rộng từ hoán đổi SIM sang mã độc tống tiền ransomware

Microsoft, công ty tiết lộ các hoạt động của nhóm hack có động cơ tài chính, đã mô tả đối thủ này là “một trong những nhóm tội phạm tài chính nguy hiểm nhất”, chỉ ra tính linh hoạt trong hoạt động và khả năng kết hợp lừa đảo qua SMS, hoán đổi SIM và gian lận bàn trợ giúp của nó. mô hình tấn công

Công ty cho biết: “Octo Tempest là một tập thể có động cơ tài chính gồm các tác nhân đe dọa nói tiếng Anh bản địa, nổi tiếng với việc tung ra các chiến dịch trên phạm vi rộng, nổi bật là các kỹ thuật tấn công kẻ thù ở giữa (AiTM), kỹ thuật xã hội và khả năng hoán đổi SIM”.

Điều đáng chú ý là hoạt động do Octo Tempest đại diện được theo dõi bởi các công ty an ninh mạng khác dưới nhiều biệt danh khác nhau, bao gồm 0ktapus, Scatter Swine và UNC3944, đã nhiều lần chỉ ra Okta để có được quyền nâng cao và xâm nhập vào các mạng mục tiêu.

Một trong những điểm nổi bật chính là nhắm mục tiêu vào nhân viên hỗ trợ và trợ giúp thông qua các cuộc tấn công kỹ thuật xã hội để có quyền truy cập ban đầu vào các tài khoản đặc quyền, lừa họ thực hiện đặt lại mật khẩu của nạn nhân và các phương thức xác thực đa yếu tố (MFA).

Các cách tiếp cận khác bao gồm việc mua thông tin xác thực và/hoặc mã thông báo phiên của nhân viên trên thị trường tội phạm ngầm hoặc gọi trực tiếp cho cá nhân đó và kỹ thuật xã hội để người dùng cài đặt tiện ích Quản lý và Giám sát Từ xa (RMM), truy cập cổng đăng nhập giả mạo bằng cách sử dụng bộ công cụ lừa đảo AiTM hoặc xóa mã thông báo FIDO2 của họ.

Các cuộc tấn công ban đầu do nhóm thực hiện nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông di động và các tổ chức gia công quy trình kinh doanh (BPO) để bắt đầu hoán đổi SIM, trước khi bắt đầu kiếm tiền từ quyền truy cập để bán hoán đổi SIM cho các tội phạm khác và thực hiện chiếm đoạt tài khoản của các cá nhân có giá trị ròng cao để trộm tiền điện tử.

Octo Tempest kể từ đó đã đa dạng hóa mục tiêu của mình để bao gồm các nhà cung cấp dịch vụ email và công nghệ, trò chơi, khách sạn, bán lẻ, nhà cung cấp dịch vụ được quản lý (MSP), sản xuất, công nghệ và tài chính, đồng thời nổi lên như một chi nhánh của băng đảng ransomware BlackCat vào giữa năm nay. 2023 để tống tiền nạn nhân.

Nói cách khác, mục tiêu cuối cùng của các cuộc tấn công khác nhau giữa đánh cắp tiền điện tử và lấy cắp dữ liệu để tống tiền và triển khai ransomware.

Microsoft cho biết: “Vào cuối năm 2022 đến đầu năm 2023, […] Octo Tempest bắt đầu kiếm tiền từ các cuộc xâm nhập bằng cách tống tiền các tổ chức nạn nhân vì dữ liệu bị đánh cắp trong các hoạt động xâm nhập của họ và trong một số trường hợp thậm chí còn dùng đến các mối đe dọa vật lý”.

“Trong một số trường hợp hiếm hoi, Octo Tempest sử dụng chiến thuật gây sợ hãi, nhắm mục tiêu vào các cá nhân cụ thể thông qua các cuộc gọi điện thoại và tin nhắn. Những kẻ này sử dụng thông tin cá nhân, chẳng hạn như địa chỉ nhà và tên gia đình, cùng với các mối đe dọa vật lý để ép nạn nhân chia sẻ thông tin đăng nhập để truy cập vào công ty ."

Theo sau một chỗ đứng thành công là những kẻ tấn công thực hiện trinh sát leo thang đặc quyền và môi trường, sau đó được thực hiện bằng các thủ tục chính sách mật khẩu bị đánh cắp, tải xuống hàng loạt nội dung xuất khẩu của người dùng, nhóm và vai trò.

Một mánh khóe đáng chú ý khác là việc sử dụng tài khoản nhân viên an ninh bị xâm phạm trong các tổ chức nạn nhân để làm suy yếu chức năng của các sản phẩm bảo mật nhằm cố gắng lọt vào tầm ngắm, ngoài việc giả mạo các quy tắc hộp thư của nhân viên an ninh để tự động xóa email từ nhà cung cấp.

Kho công cụ và chiến thuật phong phú được Octo Tempest sử dụng, bao gồm đăng ký các thiết bị do tác nhân điều khiển vào phần mềm quản lý thiết bị để vượt qua các biện pháp kiểm soát và phát lại các mã thông báo đã thu hoạch với các tuyên bố MFA hài lòng để vượt qua MFA, là biểu hiện của chuyên môn kỹ thuật sâu rộng và khả năng điều hướng phức tạp của nó. môi trường lai, Redmond nói.

Công ty giải thích thêm: “Một kỹ thuật độc đáo mà Octo Tempest sử dụng là xâm phạm cơ sở hạ tầng VMware ESXi, cài đặt Bedevil backdoor Linux nguồn mở, sau đó khởi chạy các tập lệnh VMware Python để chạy các lệnh tùy ý chống lại các máy ảo được lưu trữ”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 49
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 51
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 49
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...

Kaspersky phát hiện biến thể Lite mới củ...

29/10/2024 08:00:00 47
Tại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kas...

Trình duyệt Opera sửa lỗ hổng bảo mật lớ...

28/10/2024 08:00:00 34
Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc...

Apple mở mã nguồn PCC cho các nhà nghiên...

24/10/2024 12:00:00 34
Apple đã công khai cung cấp Môi trường nghiên cứu ảo (VRE) Private Cloud Compute (PCC), cho phép cộn...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button