Microsoft: Octo Tempest adalah salah satu kelompok peretas keuangan paling berbahaya
Microsoft telah menerbitkan profil terperinci dari aktor ancaman berbahasa Inggris dengan kemampuan rekayasa sosial tingkat lanjut yang dilacaknya sebagai Octo Tempest, yang menargetkan perusahaan dalam pemerasan data dan serangan ransomware.
Serangan Octo Tempest terus berkembang sejak awal tahun 2022, memperluas penargetan mereka ke organisasi yang menyediakan telekomunikasi kabel, email, dan layanan teknologi, dan bermitra dengan kelompok ransomware ALPHV/BlackCat.
Dari pencurian akun hingga ransomware
Pelaku ancaman awalnya terlihat menjual pertukaran SIM dan mencuri akun individu terkenal dengan aset mata uang kripto.
Pada akhir tahun 2022, Octa Tempest beralih ke phishing, rekayasa sosial, pengaturan ulang kata sandi secara massal untuk pelanggan penyedia layanan yang dibobol, dan pencurian data.
Awal tahun ini, kelompok ancaman ini menyerang perusahaan-perusahaan di sektor game, perhotelan, ritel, manufaktur, teknologi, dan keuangan, serta penyedia layanan terkelola (MSP).
Setelah menjadi afiliasi ALPHV/BlackCat, Octa Tempest menyebarkan ransomware untuk mencuri dan mengenkripsi data korban.
Kelompok ini menggunakan akumulasi pengalamannya untuk membangun serangan yang lebih maju dan agresif dan juga mulai memonetisasi intrusi dengan memeras korban setelah mencuri data.
Microsoft mengatakan bahwa Octo Tempest juga menggunakan ancaman fisik langsung dalam beberapa kasus untuk mendapatkan login yang dapat mempercepat serangan mereka.
Dalam kejadian yang aneh, Octo Tempest menjadi afiliasi dari operasi ransomware-as-a-service (RaaS) ALPHV/BlackCat, kata Microsoft, dan pada bulan Juni mereka mulai menerapkan muatan ransomware Windows dan Linux, dengan fokus pada VMware ESXi server belakangan ini.
“This is notable in that, historically, Eastern European ransomware groups refused to do business with native English-speaking criminals” - Microsoft
Serangan terbaru dari kelompok ini menargetkan organisasi di berbagai sektor, termasuk game, sumber daya alam, perhotelan, produk konsumen, ritel, penyedia layanan terkelola, manufaktur, hukum, teknologi, dan jasa keuangan.
TTP Octo Tempest
Microsoft menilai Octo Tempest adalah grup yang terorganisir dengan baik yang mencakup anggota dengan pengetahuan teknis yang luas dan banyak operator keyboard.
Para peretas sering kali mendapatkan akses awal melalui rekayasa sosial tingkat lanjut yang menargetkan akun administrator teknis (misalnya staf dukungan dan pusat bantuan) dengan izin yang cukup untuk melanjutkan serangan.
Mereka meneliti perusahaan untuk mengidentifikasi target yang dapat mereka tiru hingga tingkat meniru pola bicara individu dalam panggilan telepon.
Dengan melakukan hal ini, mereka mengelabui administrator teknis agar melakukan pengaturan ulang kata sandi dan mengatur ulang metode autentikasi multifaktor (MFA).
Metode lain untuk akses awal meliputi:
- menipu target agar menginstal perangkat lunak pemantauan dan manajemen jarak jauh
- mencuri login melalui situs phishing
- membeli kredensial atau token sesi dari penjahat dunia maya lainnya
- Karyawan SMS phishing dengan link ke portal login palsu yang menangkap kredensial
- Pertukaran SIM atau penerusan panggilan
- Ancaman kekerasan langsung
“Initial bulk-export of users, groups, and device information is closely followed by enumerating data and resources readily available to the user’s profile within virtual desktop infrastructure or enterprise-hosted resources” - Microsoft
Octo Tempest kemudian melanjutkan untuk mengeksplorasi infrastruktur, menghitung akses dan sumber daya di seluruh lingkungan cloud, repositori kode, server dan sistem manajemen cadangan.
Untuk meningkatkan hak istimewa, pelaku ancaman kembali melakukan rekayasa sosial, pertukaran SIM, atau penerusan panggilan, dan memulai pengaturan ulang kata sandi mandiri pada akun target.
Selama langkah ini, peretas membangun kepercayaan pada korban dengan menggunakan akun yang disusupi dan menunjukkan pemahaman tentang prosedur perusahaan. Jika mereka memiliki akun pengelola, mereka sendiri yang menyetujui permintaan peningkatan izin.
Selama mereka memiliki akses, Octo Tempest terus mencari kredensial tambahan untuk memperluas jangkauan mereka. Mereka menggunakan alat seperti Jercretz dan TruffleHog untuk mengotomatiskan pencarian kunci teks biasa, rahasia, dan kata sandi di seluruh repositori kode.
Untuk menyembunyikan jejaknya, para peretas juga menargetkan akun personel keamanan, yang memungkinkan mereka menonaktifkan produk dan fitur keamanan.
“Using compromised accounts, the threat actor leverages EDR and device management technologies to allow malicious tooling, deploy RMM software, remove or impair security products, data theft of sensitive files (e.g. files with credentials, signal messaging databases, etc.), and deploy malicious payloads” - Microsoft
Menurut Microsoft, Octo Tempest mencoba menyembunyikan kehadiran mereka di jaringan dengan menekan peringatan perubahan dan memodifikasi aturan kotak surat untuk menghapus email yang dapat meningkatkan kecurigaan korban akan pelanggaran.
Para peneliti menyediakan alat dan teknik tambahan berikut yang digunakan Octo Tempest dalam serangan mereka:
- open-source tools: ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.io, Mesh, TacticalRMM, Tailscale, Ngrok, WsTunnel, Rsocx, and Socat
- menyebarkan mesin virtual Azure untuk mengaktifkan akses jarak jauh melalui instalasi RMM atau modifikasi sumber daya yang ada melalui konsol serial Azure
- menambahkan metode MFA ke pengguna yang sudah ada
- menggunakan alat penerowongan Twingate, yang memanfaatkan instans Azure Container sebagai konektor pribadi (tanpa paparan jaringan publik)
Posting Komentar untuk "Microsoft: Octo Tempest adalah salah satu kelompok peretas keuangan paling berbahaya"
Posting Komentar