Microsoft: Octo Tempest adalah salah satu kelompok peretas keuangan paling berbahaya

 

Microsoft telah menerbitkan profil terperinci dari aktor ancaman berbahasa Inggris dengan kemampuan rekayasa sosial tingkat lanjut yang dilacaknya sebagai Octo Tempest, yang menargetkan perusahaan dalam pemerasan data dan serangan ransomware.

 Serangan Octo Tempest terus berkembang sejak awal tahun 2022, memperluas penargetan mereka ke organisasi yang menyediakan telekomunikasi kabel, email, dan layanan teknologi, dan bermitra dengan kelompok ransomware ALPHV/BlackCat.

Dari pencurian akun hingga ransomware

 Pelaku ancaman awalnya terlihat menjual pertukaran SIM dan mencuri akun individu terkenal dengan aset mata uang kripto.

Pada akhir tahun 2022, Octa Tempest beralih ke phishing, rekayasa sosial, pengaturan ulang kata sandi secara massal untuk pelanggan penyedia layanan yang dibobol, dan pencurian data.

Awal tahun ini, kelompok ancaman ini menyerang perusahaan-perusahaan di sektor game, perhotelan, ritel, manufaktur, teknologi, dan keuangan, serta penyedia layanan terkelola (MSP).

 Setelah menjadi afiliasi ALPHV/BlackCat, Octa Tempest menyebarkan ransomware untuk mencuri dan mengenkripsi data korban.

Kelompok ini menggunakan akumulasi pengalamannya untuk membangun serangan yang lebih maju dan agresif dan juga mulai memonetisasi intrusi dengan memeras korban setelah mencuri data.

 Microsoft mengatakan bahwa Octo Tempest juga menggunakan ancaman fisik langsung dalam beberapa kasus untuk mendapatkan login yang dapat mempercepat serangan mereka.

Dalam kejadian yang aneh, Octo Tempest menjadi afiliasi dari operasi ransomware-as-a-service (RaaS) ALPHV/BlackCat, kata Microsoft, dan pada bulan Juni mereka mulai menerapkan muatan ransomware Windows dan Linux, dengan fokus pada VMware ESXi server belakangan ini.

“This is notable in that, historically, Eastern European ransomware groups refused to do business with native English-speaking criminals” - Microsoft

 Serangan terbaru dari kelompok ini menargetkan organisasi di berbagai sektor, termasuk game, sumber daya alam, perhotelan, produk konsumen, ritel, penyedia layanan terkelola, manufaktur, hukum, teknologi, dan jasa keuangan.

 TTP Octo Tempest 

 Microsoft menilai Octo Tempest adalah grup yang terorganisir dengan baik yang mencakup anggota dengan pengetahuan teknis yang luas dan banyak operator keyboard.

Para peretas sering kali mendapatkan akses awal melalui rekayasa sosial tingkat lanjut yang menargetkan akun administrator teknis (misalnya staf dukungan dan pusat bantuan) dengan izin yang cukup untuk melanjutkan serangan.

 Mereka meneliti perusahaan untuk mengidentifikasi target yang dapat mereka tiru hingga tingkat meniru pola bicara individu dalam panggilan telepon.

 Dengan melakukan hal ini, mereka mengelabui administrator teknis agar melakukan pengaturan ulang kata sandi dan mengatur ulang metode autentikasi multifaktor (MFA).

 Metode lain untuk akses awal meliputi:

• menipu target agar menginstal perangkat lunak pemantauan dan manajemen jarak jauh
• mencuri login melalui situs phishing
• membeli kredensial atau token sesi dari penjahat dunia maya lainnya
• Karyawan SMS phishing dengan link ke portal login palsu yang menangkap kredensial
• Pertukaran SIM atau penerusan panggilan
• Ancaman kekerasan langsung

Setelah mereka mendapatkan akses yang memadai, peretas Octo Tempest memulai tahap pengintaian serangan dengan menghitung host dan layanan serta mengumpulkan informasi yang memungkinkan penyalahgunaan saluran yang sah untuk melanjutkan intrusi.

“Initial bulk-export of users, groups, and device information is closely followed by enumerating data and resources readily available to the user’s profile within virtual desktop infrastructure or enterprise-hosted resources” - Microsoft

 Octo Tempest kemudian melanjutkan untuk mengeksplorasi infrastruktur, menghitung akses dan sumber daya di seluruh lingkungan cloud, repositori kode, server dan sistem manajemen cadangan.

 Untuk meningkatkan hak istimewa, pelaku ancaman kembali melakukan rekayasa sosial, pertukaran SIM, atau penerusan panggilan, dan memulai pengaturan ulang kata sandi mandiri pada akun target.

 Selama langkah ini, peretas membangun kepercayaan pada korban dengan menggunakan akun yang disusupi dan menunjukkan pemahaman tentang prosedur perusahaan. Jika mereka memiliki akun pengelola, mereka sendiri yang menyetujui permintaan peningkatan izin.

 Selama mereka memiliki akses, Octo Tempest terus mencari kredensial tambahan untuk memperluas jangkauan mereka. Mereka menggunakan alat seperti Jercretz dan TruffleHog untuk mengotomatiskan pencarian kunci teks biasa, rahasia, dan kata sandi di seluruh repositori kode.

Untuk menyembunyikan jejaknya, para peretas juga menargetkan akun personel keamanan, yang memungkinkan mereka menonaktifkan produk dan fitur keamanan.

“Using compromised accounts, the threat actor leverages EDR and device management technologies to allow malicious tooling, deploy RMM software, remove or impair security products, data theft of sensitive files (e.g. files with credentials, signal messaging databases, etc.), and deploy malicious payloads” - Microsoft

 Menurut Microsoft, Octo Tempest mencoba menyembunyikan kehadiran mereka di jaringan dengan menekan peringatan perubahan dan memodifikasi aturan kotak surat untuk menghapus email yang dapat meningkatkan kecurigaan korban akan pelanggaran.

 Para peneliti menyediakan alat dan teknik tambahan berikut yang digunakan Octo Tempest dalam serangan mereka:

• open-source tools: ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.io, Mesh, TacticalRMM, Tailscale, Ngrok, WsTunnel, Rsocx, and Socat
• menyebarkan mesin virtual Azure untuk mengaktifkan akses jarak jauh melalui instalasi RMM atau modifikasi sumber daya yang ada melalui konsol serial Azure
• menambahkan metode MFA ke pengguna yang sudah ada
•  menggunakan alat penerowongan Twingate, yang memanfaatkan instans Azure Container sebagai konektor pribadi (tanpa paparan jaringan publik)

Para peretas juga memindahkan data yang dicuri ke server mereka menggunakan teknik unik, yang melibatkan Azure Data Factory dan jalur pipa otomatis untuk menyatu dengan operasi data besar pada umumnya.

 Untuk mengekspor pustaka dokumen SharePoint dan mentransfer file lebih cepat, penyerang sering terlihat mendaftarkan solusi cadangan Microsoft 365 yang sah seperti Veeam, AFI Backup, dan CommVault.

 Microsoft mencatat bahwa mendeteksi atau memburu pelaku ancaman ini di suatu lingkungan bukanlah tugas yang mudah karena penggunaan rekayasa sosial, teknik hidup di luar lahan, dan beragam peralatan.

 Namun, para peneliti memberikan serangkaian pedoman umum yang dapat membantu mendeteksi aktivitas berbahaya, yang dimulai dengan memantau dan meninjau proses terkait identitas, lingkungan Azure, dan titik akhir.

 Octo Tempest bermotivasi finansial dan mencapai tujuannya melalui pencurian mata uang kripto, pemerasan pencurian data, atau mengenkripsi sistem dan meminta uang tebusan.