微軟發(fā)布了一個(gè)以英語為母語的威脅行為者的詳細(xì)資料，該威脅行為者具有先進(jìn)的社會(huì)工程能力，被追蹤為 Octo Tempest，該威脅行為者的目標(biāo)是進(jìn)行數(shù)據(jù)勒索和勒索軟件攻擊的公司。

　　自 2022 年初以來，Octo Tempest 的攻擊穩(wěn)步發(fā)展，將攻擊目標(biāo)擴(kuò)大到提供有線電信、電子郵件和技術(shù)服務(wù)的組織，并與 ALPHV/BlackCat 勒索軟件組織合作。

　　從帳戶盜竊到勒索軟件

　　最初觀察到威脅行為者出售 SIM 卡交換并竊取擁有加密貨幣資產(chǎn)的知名人士的賬戶。

　　黑客通常通過高級(jí)社會(huì)工程獲得初始訪問權(quán)限，該社會(huì)工程以具有足夠權(quán)限的技術(shù)管理員（例如支持和服務(wù)臺(tái)人員）的帳戶為目標(biāo)，以進(jìn)一步實(shí)施攻擊。

　　他們對(duì)公司進(jìn)行研究，以確定可以模仿的目標(biāo)，達(dá)到模仿電話中個(gè)人的語音模式的程度。

　　通過這樣做，他們誘騙技術(shù)管理員執(zhí)行密碼重置并重置多重身份驗(yàn)證 (MFA) 方法。

　　初始訪問的其他方法包括：

　　誘騙目標(biāo)安裝遠(yuǎn)程監(jiān)控和管理軟件

　　通過網(wǎng)絡(luò)釣魚網(wǎng)站竊取登錄信息

　　從其他網(wǎng)絡(luò)犯罪分子那里購買憑證或會(huì)話令牌

　　短信網(wǎng)絡(luò)釣魚員工帶有可捕獲憑據(jù)的虛假登錄門戶的鏈接

　　SIM 卡交換或呼叫轉(zhuǎn)移

　　直接暴力威脅

　　一旦獲得足夠的訪問權(quán)限，Octo Tempest 黑客就會(huì)通過枚舉主機(jī)和服務(wù)并收集允許濫用合法通道進(jìn)行入侵的信息來開始攻擊的偵察階段。

　　“用戶、組和設(shè)備信息的初始批量導(dǎo)出之后，緊隨其后的是在虛擬桌面基礎(chǔ)架構(gòu)或企業(yè)托管資源中枚舉可供用戶配置文件隨時(shí)使用的數(shù)據(jù)和資源”- Microsoft

　　然后，Octo Tempest 繼續(xù)探索基礎(chǔ)設(shè)施，枚舉跨云環(huán)境、代碼存儲(chǔ)庫、服務(wù)器和備份管理系統(tǒng)的訪問和資源。

　　為了提升權(quán)限，威脅行為者再次求助于社會(huì)工程、SIM 交換或呼叫轉(zhuǎn)接，并啟動(dòng)目標(biāo)帳戶的自助密碼重置。

　　在此步驟中，黑客通過使用受損帳戶并表現(xiàn)出對(duì)公司程序的了解來與受害者建立信任。如果他們擁有經(jīng)理帳戶，他們會(huì)自行批準(zhǔn)增加權(quán)限的請(qǐng)求。

　　只要他們有訪問權(quán)限，Octo Tempest 就會(huì)繼續(xù)尋找其他憑證來擴(kuò)大他們的影響力。他們使用 Jercretz 和 TruffleHog 等工具來自動(dòng)搜索代碼存儲(chǔ)庫中的明文密鑰、機(jī)密和密碼。

　　為了隱藏自己的蹤跡，黑客還針對(duì)安全人員的帳戶，這使他們能夠禁用安全產(chǎn)品和功能。

　　“利用受感染的帳戶，威脅行為者利用 EDR 和設(shè)備管理技術(shù)來允許惡意工具、部署 RMM 軟件、刪除或損害安全產(chǎn)品、竊取敏感文件的數(shù)據(jù)（例如帶有憑據(jù)的文件、信號(hào)消息數(shù)據(jù)庫等），并部署惡意負(fù)載”——微軟

　　據(jù)微軟稱，Octo Tempest 試圖通過抑制更改警報(bào)并修改郵箱規(guī)則來刪除可能引起受害者懷疑存在違規(guī)行為的電子郵件來隱藏其在網(wǎng)絡(luò)上的存在。

　　研究人員提供了 Octo Tempest 在攻擊中使用的以下附加工具和技術(shù)：

　　開源工具：  ScreenConnect、  FleetDeck、  AnyDesk、  RustDesk、  Splashtop、  Pulseway、  TightVNC、LummaC2、Level.io、Mesh、  TacticalRMM、  Tailscale、  Ngrok、  WsTunnel、  Rsocx和 Socat

　　部署 Azure 虛擬機(jī)以通過 RMM 安裝實(shí)現(xiàn)遠(yuǎn)程訪問或通過 Azure 串行控制臺(tái)修改現(xiàn)有資源

　　向現(xiàn)有用戶添加 MFA 方法

　　使用隧道工具 Twingate，該工具利用 Azure 容器實(shí)例作為專用連接器（不暴露公共網(wǎng)絡(luò)）

　　黑客還使用一種獨(dú)特的技術(shù)將竊取的數(shù)據(jù)轉(zhuǎn)移到他們的服務(wù)器，其中涉及 Azure 數(shù)據(jù)工廠和自動(dòng)化管道，以融入典型的大數(shù)據(jù)操作。

　　為了導(dǎo)出 SharePoint 文檔庫并更快地傳輸文件，攻擊者經(jīng)常注冊(cè)合法的 Microsoft 365 備份解決方案，例如 Veeam、AFI Backup 和 CommVault。

　　微軟指出，由于使用了社會(huì)工程、靠地生活技術(shù)和多樣化的工具，在環(huán)境中檢測(cè)或追捕這種威脅行為者并不是一件容易的事。

　　不過，研究人員提供了一組通用指南，可以幫助檢測(cè)惡意活動(dòng)，首先是監(jiān)視和審查與身份相關(guān)的進(jìn)程、Azure 環(huán)境和端點(diǎn)。

　　Octo Tempest 出于經(jīng)濟(jì)動(dòng)機(jī)，通過竊取加密貨幣、竊取數(shù)據(jù)勒索或加密系統(tǒng)并索要贖金來實(shí)現(xiàn)其目標(biāo)。