Octo Tempest یکی از خطرناک‌ترین گروه‌های هکری

Octo Tempest دسترسی‌ اولیه خود را معمولا از طریق مهارت‌های مهندسی اجتماعی خود، اکانت‌های مدیران سیستم و کارشناسان IT را که دسترسی های کافی دارد را به دست می آورند. آنها در مورد اهدافشان تحقیق می‌کنند تا افرادی که می‌توانند با جعل هویت آنها و تقلید نحوه صحب کردنشان پشت تلفن دسترسی‌های لازم را کسب کنند. با این روش آنها، مدیران سیستم را به تغییر پسورد یا غیرفعال کردن تایید‌های دورمرحله ترغیب می‌کردند.

سایر روش‌ها :

• فریب کاربر به نصب نرم افزارها
• سرقت اطلاعات حساب کاربری با استفاده از وبسایت جعلی
• خرید اطلاعات حساب کاربری و توکن‌های ورود از سایر مجرمین سایبری
• فیشینگ از طریق پیامک و هدایت آنها به صفحات ورود جعلی
• انتقال تماس و SIM-swapping
• تهدیدات خشونت آمیز فیزیکی

پس از آن که دسترسی‌های لازم را به دست آوردند، شروع به شناسایی میزبانان و سرویس‌ها می‌کنند و اطلاعاتی که می‌توانند از آنها سوء استفاده کنند و به نفوذ خود در شبکه ادامه دهند به دست می‌آورند. برای افزایش سطح دسترسی‌ها، این گروه دوباره از روش‌های مهندسی اجتماعی استفاده می‌کند و با اکانتی که در دست دارد اعتماد قربانی خود را به دست می‌آورد.

تا زمانی که در شبکه قربانی حضوردارند، به دنبال اکانت‌های که حضور آنها را طولانی‌تر کند، می‌گردند. آنها این کار را با ابزارهایی همچون Jercertz و TruffleHog که به صوت خودکار به دنبال الگوهای متنی و پسوردها در مخازن می گردد انجام می‌دهند. برای اینکه از خود ردپایی به جا نگذارند، حساب‌های کاربری کارکنان امنیتی را مورد حمله قرار می‌دهند تا بتوانند ابزارهای امنیتی را غیرفعال کنند. مایکروسافت در این باره میگوید: با بهره‌گیری از اکانت‌های لو رفته، این گروه با سوء استفاده از تکنولوژی‌های EDR و مدیریت دستگاه‌ها ابزارهای آلوده خود را مجاز می‌کنند تا بتوانند ابزارهای مانیتورینگ و مدیریت از راه دور را نصب کنند. این ابزارها قابلیت حذف راهکارهای امنیتی و سرقت اطلاعات حساس را به آنها می‌دهند. سایر ابزارهایی که این گروه در حملاتشان از آنها بهره میگیرند به شرح زیر است:

• ابزارهایی دسترسی از راه دور: ScreenConnect, FleetDesk, AnyDesk, RustDesk, Splashtop, Pluseway, TightVNC, LummaC2, Level.io, Mesh, TacticalRMM, Tailscale, Ngrock, WsTunnel, Rsocx, Socat
• نصب Azure virtual machines برای دسترسی از راه دور از طریق RMM که اجازه مدیریت منابع از طریق Azure serial console را میدهد.
• فعال کردن ورود چند مرحله ای برای اکانت های موجود
• استفاده از ابزار تانلینگ Twingate ، که از Azure Container به عنوان روش برای اتصال به میزبانهای بدون دسترسی اینترنت استفاده می شود.

هکرها دادهای سرقت شده را به سرور‌های خود انتقال می‌دهند و برای اینکار از تکنیک منحصر به فردی استفاده می‌کنند که شامل بهره گیری از Azure Data Factory  و automated piplines است. همچنین برای انتقال سریعتر داده‌ها، هکرها از راهکارهای پشتیبانی گیری Microsoft 365  مانند: Veeam, AFI Backup  و CommVault استفاده می‌کنند و با ایجاد حساب کاربری قانونی در این پلتفرم‌ها دادها را به سرقت می‌برند.

همچنین مایکروسافت خاطرنشان می‌کند که شناسایی و مقابله با این گروه هکری با توجه به تکنیک‌های متنوع مهندسی اجتماعی و ابزارهای مختلفی که استفاده می‌کنند ساده نیست. اما پیشنهاد می‌شود که با استفاده از ابزارهای مانیتوریینگ و بازبینی فرآیندهای مرتبط با هویت، ابزارهای Azure و نظارت بر نقاط پایانی وجود چنین تهدیداتی را کشف و خنثی نمایند.

با اینکه گزارشی از تهدیدات این گروه Octo Tempest خطرناک در ایران دریافت نشده است ولی با توجه به پیشرفته بودن و تنوع حملات آنها، دلیل بسیار خوبی برای افزایش  آگاهی و پیش بینی راهکارهای لازم در برابر چنین حملاتی می‌باشد.

‌

‌