Microsoft cảnh báo Scatter Spider mở rộng từ hoán đổi SIM sang mã độc tống tiền ransomware
Người ta đã quan sát thấy kẻ đe dọa phổ biến có tên Scattered Spider đang mạo danh nhân viên mới được tuyển dụng trong các công ty mục tiêu như một âm mưu nhằm trà trộn vào các quy trình tuyển dụng thông thường và các tài khoản tiếp quản cũng như các tổ chức vi phạm trên toàn thế giới.
Microsoft, công ty tiết lộ các hoạt động của nhóm hack có động cơ tài chính, đã mô tả đối thủ này là “một trong những nhóm tội phạm tài chính nguy hiểm nhất”, chỉ ra tính linh hoạt trong hoạt động và khả năng kết hợp lừa đảo qua SMS, hoán đổi SIM và gian lận bàn trợ giúp của nó. mô hình tấn công
Công ty cho biết: “Octo Tempest là một tập thể có động cơ tài chính gồm các tác nhân đe dọa nói tiếng Anh bản địa, nổi tiếng với việc tung ra các chiến dịch trên phạm vi rộng, nổi bật là các kỹ thuật tấn công kẻ thù ở giữa (AiTM), kỹ thuật xã hội và khả năng hoán đổi SIM”.
Điều đáng chú ý là hoạt động do Octo Tempest đại diện được theo dõi bởi các công ty an ninh mạng khác dưới nhiều biệt danh khác nhau, bao gồm 0ktapus, Scatter Swine và UNC3944, đã nhiều lần chỉ ra Okta để có được quyền nâng cao và xâm nhập vào các mạng mục tiêu.
Một trong những điểm nổi bật chính là nhắm mục tiêu vào nhân viên hỗ trợ và trợ giúp thông qua các cuộc tấn công kỹ thuật xã hội để có quyền truy cập ban đầu vào các tài khoản đặc quyền, lừa họ thực hiện đặt lại mật khẩu của nạn nhân và các phương thức xác thực đa yếu tố (MFA).
Các cách tiếp cận khác bao gồm việc mua thông tin xác thực và/hoặc mã thông báo phiên của nhân viên trên thị trường tội phạm ngầm hoặc gọi trực tiếp cho cá nhân đó và kỹ thuật xã hội để người dùng cài đặt tiện ích Quản lý và Giám sát Từ xa (RMM), truy cập cổng đăng nhập giả mạo bằng cách sử dụng bộ công cụ lừa đảo AiTM hoặc xóa mã thông báo FIDO2 của họ.
Các cuộc tấn công ban đầu do nhóm thực hiện nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông di động và các tổ chức gia công quy trình kinh doanh (BPO) để bắt đầu hoán đổi SIM, trước khi bắt đầu kiếm tiền từ quyền truy cập để bán hoán đổi SIM cho các tội phạm khác và thực hiện chiếm đoạt tài khoản của các cá nhân có giá trị ròng cao để trộm tiền điện tử.
Octo Tempest kể từ đó đã đa dạng hóa mục tiêu của mình để bao gồm các nhà cung cấp dịch vụ email và công nghệ, trò chơi, khách sạn, bán lẻ, nhà cung cấp dịch vụ được quản lý (MSP), sản xuất, công nghệ và tài chính, đồng thời nổi lên như một chi nhánh của băng đảng ransomware BlackCat vào giữa năm nay. 2023 để tống tiền nạn nhân.
Nói cách khác, mục tiêu cuối cùng của các cuộc tấn công khác nhau giữa đánh cắp tiền điện tử và lấy cắp dữ liệu để tống tiền và triển khai ransomware.
Microsoft cho biết: “Vào cuối năm 2022 đến đầu năm 2023, […] Octo Tempest bắt đầu kiếm tiền từ các cuộc xâm nhập bằng cách tống tiền các tổ chức nạn nhân vì dữ liệu bị đánh cắp trong các hoạt động xâm nhập của họ và trong một số trường hợp thậm chí còn dùng đến các mối đe dọa vật lý”.
“Trong một số trường hợp hiếm hoi, Octo Tempest sử dụng chiến thuật gây sợ hãi, nhắm mục tiêu vào các cá nhân cụ thể thông qua các cuộc gọi điện thoại và tin nhắn. Những kẻ này sử dụng thông tin cá nhân, chẳng hạn như địa chỉ nhà và tên gia đình, cùng với các mối đe dọa vật lý để ép nạn nhân chia sẻ thông tin đăng nhập để truy cập vào công ty ."
Theo sau một chỗ đứng thành công là những kẻ tấn công thực hiện trinh sát leo thang đặc quyền và môi trường, sau đó được thực hiện bằng các thủ tục chính sách mật khẩu bị đánh cắp, tải xuống hàng loạt nội dung xuất khẩu của người dùng, nhóm và vai trò.
Một mánh khóe đáng chú ý khác là việc sử dụng tài khoản nhân viên an ninh bị xâm phạm trong các tổ chức nạn nhân để làm suy yếu chức năng của các sản phẩm bảo mật nhằm cố gắng lọt vào tầm ngắm, ngoài việc giả mạo các quy tắc hộp thư của nhân viên an ninh để tự động xóa email từ nhà cung cấp.
Kho công cụ và chiến thuật phong phú được Octo Tempest sử dụng, bao gồm đăng ký các thiết bị do tác nhân điều khiển vào phần mềm quản lý thiết bị để vượt qua các biện pháp kiểm soát và phát lại các mã thông báo đã thu hoạch với các tuyên bố MFA hài lòng để vượt qua MFA, là biểu hiện của chuyên môn kỹ thuật sâu rộng và khả năng điều hướng phức tạp của nó. môi trường lai, Redmond nói.
Công ty giải thích thêm: “Một kỹ thuật độc đáo mà Octo Tempest sử dụng là xâm phạm cơ sở hạ tầng VMware ESXi, cài đặt Bedevil backdoor Linux nguồn mở, sau đó khởi chạy các tập lệnh VMware Python để chạy các lệnh tùy ý chống lại các máy ảo được lưu trữ”.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...
Chiến dịch quảng cáo độc hại chiếm đoạt ...
Nghiên cứu mới tiết lộ lỗ hổng Spectre v...
Kaspersky phát hiện biến thể Lite mới củ...
Trình duyệt Opera sửa lỗ hổng bảo mật lớ...
Apple mở mã nguồn PCC cho các nhà nghiên...
- Cách xóa người, đối tượng, vật thể không mong muốn...
- Lý do công cụ AI chưa thể viết văn bản trên hình ả...
- Lỗ hổng bảo mật khiến kẻ xấu hack hệ thống mà khôn...
- Chiến dịch quảng cáo độc hại chiếm đoạt tài khoản ...
- Ngoài AI, đây là những công nghệ mới trên smartpho...
- Nghiên cứu mới tiết lộ lỗ hổng Spectre vẫn tồn tại...