L’acteur menaçant prolifique connu sous le nom de Araignée dispersée a été observé en train de se faire passer pour des employés nouvellement embauchés dans des entreprises ciblées comme un stratagème pour se fondre dans les processus normaux d’embauche, reprendre des comptes et pirater des organisations à travers le monde.
Microsoft, qui a révélé les activités de l’équipe de piratage à motivation financière, a décrit l’adversaire comme « l’un des groupes criminels financiers les plus dangereux », soulignant sa fluidité opérationnelle et sa capacité à intégrer le phishing par SMS, l’échange de cartes SIM et la fraude au service d’assistance dans ses activités. modèle d’attaque.
« Octo Tempest est un collectif d’acteurs malveillants anglophones motivés par des motivations financières, connus pour lancer des campagnes de grande envergure mettant en évidence les techniques d’adversaire au milieu (AiTM), l’ingénierie sociale et les capacités d’échange de cartes SIM », a déclaré la société.
Il convient de noter que l’activité représentée par Octo Tempest est suivie par d’autres sociétés de cybersécurité sous divers noms, notamment 0ktapus, Scatter Swine et UNC3944, qui ont choisi à plusieurs reprises Okta pour obtenir des autorisations élevées et infiltrer des réseaux ciblés.
L’une des principales caractéristiques est le ciblage du personnel d’assistance et d’assistance via des attaques d’ingénierie sociale pour obtenir un accès initial aux comptes privilégiés, les incitant à réinitialiser le mot de passe de la victime et aux méthodes d’authentification multifacteur (MFA).
D’autres approches consistent à acheter des informations d’identification et / ou de jetons de session d’un employé sur un marché souterrain criminel, ou d’appeler l’individu directement et socialement de l’utilisateur pour installer un utilitaire de surveillance et de gestion à distance (RMM), visiter un faux portail de connexion en utilisant Une boîte à outils AITM Phishing, ou supprimez leur jeton FIDO2.
Les premières attaques lancées par le groupe ciblaient les fournisseurs de télécommunications mobiles et les organisations d’externalisation des processus métiers (BPO) pour lancer des échanges de cartes SIM, avant de monétiser l’accès pour vendre des échanges de cartes SIM à d’autres criminels et effectuer des piratages de comptes d’individus fortunés à des fins de vol de crypto-monnaie. .
Octo Tempest a depuis diversifié son ciblage pour inclure les fournisseurs de services de messagerie et de technologie, les jeux, l’hôtellerie, la vente au détail, les fournisseurs de services gérés (MSP), la fabrication, la technologie et les secteurs financiers, tout en devenant simultanément une filiale du gang de ransomwares BlackCat au milieu de l’année. 2023 pour extorquer les victimes.
En d’autres termes, l’objectif final des attaques varie entre le vol de cryptomonnaie et l’exfiltration de données à des fins d’extorsion et de déploiement de ransomwares.
« De fin 2022 à début 2023, […] Octo Tempest a commencé à monétiser les intrusions en extorquant des organisations de victimes pour les données volées lors de leurs opérations d’intrusion et, dans certains cas, même en recourant à des menaces physiques « , a déclaré Microsoft.
« Dans de rares cas, Octo Tempest recourt à des tactiques alarmistes, ciblant des individus spécifiques par le biais d’appels téléphoniques et de SMS. Ces acteurs utilisent des informations personnelles, telles que des adresses personnelles et des noms de famille, ainsi que des menaces physiques pour contraindre les victimes à partager leurs informations d’identification pour accéder à l’entreprise. « .
Un pied réussi est suivi par les attaquants effectuant la reconnaissance de l’environnement et l’escalade des privilèges, ce dernier est accompli au moyen de procédures de politique de mot de passe volées, de téléchargements en vrac des exportations utilisateur, groupe et rôles.
Un autre métier notable est l’utilisation de comptes de personnel de sécurité compromis au sein des organisations de victimes pour altérer les produits de sécurité fonctionnels dans le but de voler sous le radar, en plus de la falsification des règles de boîte aux lettres du personnel de sécurité pour supprimer automatiquement les e-mails des fournisseurs.
Le vaste arsenal d’outils et de tactiques employés par Octo Tempest, notamment l’inscription d’appareils contrôlés par des acteurs dans un logiciel de gestion d’appareils pour contourner les contrôles et la relecture des jetons récoltés avec des affirmations MFA satisfaites pour contourner MFA, est révélateur de sa vaste expertise technique et de sa capacité à naviguer dans des environnements complexes. environnements hybrides, a déclaré Redmond.
« Une technique unique utilisée par Octo Tempest consiste à compromettre l’infrastructure VMware ESXi, à installer la porte dérobée Linux open source Bedevil, puis à lancer des scripts VMware Python pour exécuter des commandes arbitraires sur des machines virtuelles hébergées », a expliqué la société.
