لوگوی ارتباط افزار افق
منو
بستن
۰۲۱۹۱۳۰۵۹۷۹
٠٩٠٢٦٣٤٩٦١٦

Octo Tempest یکی از خطرناک‌ترین گروه‌های هکری

گروه هکری Octo Tempest

فهرست مطالب

Octo Tempest کیست؟

به عقیده مایکروسافت، Octo Tempest یکی از خطرناک ترین گروه‌های هکری مالی می‌باشد. این گروه توانایی‌های پیشرفته‌ای در مهندسی اجتماعی دارد و کمپانی‌های هدف را با حملات باج افزاری و سرقت اطلاعات تهدید می‌کند. مایکروسافت به صورت عمومی اطلاعاتی در خصوص این گروه منتشر کرده است. گروه Octo Tempest از اوایل سال 2022 حملات خود را آغاز کرده و حملات خود را به سمت شرکت‌های ارتباطات، ایمیل و خدمات تکنولوژی روانه کرده و همچنین با گروه باج افزاری ALPHV/BlackCat نیز همکاری داشته‌اند.

از سرقت حساب‌های کاربری تا باج افزار

این گروه هکری در ابتدا با حملات SIM swap کار خود را آغاز کرده که در واقع یک نوع حمله می‌باشد که با فریب اپراتور سیمکارت شماره سیمکارتی که در اختیار هکر می‌باشد را به هر شماره دلخواهی تغییر میدهد و بدین ترتیب امکان تغییر تمامی اکانت‌های هک شده را به دست می‌آوردند. این گروه بیشتر به دنبال هک اکانت‌هایی بودند که شامل دارایی‌های رمزارز بودند. در اواخر سال 2022، گروه Octo Tempest فعالیت های خود در زمینه فیشینگ، مهندسی اجتماعی، تغییر پسورد اکانت‌های لو رفته و سرقت اطلاعات را آغاز کرد.

در ابتدای سال جاری میلادی، آنها شروع به اجرای حملاتی بر علیه شرکت‌های گیمینگ، درمانی، خرده فروش‌ها، زیرساخت، تکنولوژی و همچنین شرکت‌های ارائه دهنده خدمات MSP کردند. این گروه پس از پیوستن به ALPHV/BlackCat، شروع به انتشار باج افزاری کردند که در علاوه بر رمزگذاری بروی فایل‌ها آنها را به سرقت نیز می‌برد. این گروه از تجربیات کسب شده در حملات پیشین شروع به ساختن حملات پیشرفته ترو اخاذی از کاربرانی که اطلاعات آنها را به سرقت برده بودند کردند.  بنا به گزارش منتشر شده، گروه Octo Tempest در بعضی مواقع از تهدیدات مستقیم فیزیکی نیز برای به دست آوردن دسترسی سطح بالایی که نیاز دارند استفاده می‌کردند.

تاکتیک‌ها، تکنیک‌ها و روش‌ها

Octo Tempest دسترسی‌ اولیه خود را معمولا از طریق مهارت‌های مهندسی اجتماعی خود، اکانت‌های مدیران سیستم و کارشناسان IT را که دسترسی های کافی دارد را به دست می آورند. آنها در مورد اهدافشان تحقیق می‌کنند تا افرادی که می‌توانند با جعل هویت آنها و تقلید نحوه صحب کردنشان پشت تلفن دسترسی‌های لازم را کسب کنند. با این روش آنها، مدیران سیستم را به تغییر پسورد یا غیرفعال کردن تایید‌های دورمرحله ترغیب می‌کردند.

سایر روش‌ها :

  • فریب کاربر به نصب نرم افزارها
  • سرقت اطلاعات حساب کاربری با استفاده از وبسایت جعلی
  • خرید اطلاعات حساب کاربری و توکن‌های ورود از سایر مجرمین سایبری
  • فیشینگ از طریق پیامک و هدایت آنها به صفحات ورود جعلی
  • انتقال تماس و SIM-swapping
  • تهدیدات خشونت آمیز فیزیکی

پس از آن که دسترسی‌های لازم را به دست آوردند، شروع به شناسایی میزبانان و سرویس‌ها می‌کنند و اطلاعاتی که می‌توانند از آنها سوء استفاده کنند و به نفوذ خود در شبکه ادامه دهند به دست می‌آورند. برای افزایش سطح دسترسی‌ها، این گروه دوباره از روش‌های مهندسی اجتماعی استفاده می‌کند و با اکانتی که در دست دارد اعتماد قربانی خود را به دست می‌آورد.

تا زمانی که در شبکه قربانی حضوردارند، به دنبال اکانت‌های که حضور آنها را طولانی‌تر کند، می‌گردند. آنها این کار را با ابزارهایی همچون Jercertz و TruffleHog که به صوت خودکار به دنبال الگوهای متنی و پسوردها در مخازن می گردد انجام می‌دهند. برای اینکه از خود ردپایی به جا نگذارند، حساب‌های کاربری کارکنان امنیتی را مورد حمله قرار می‌دهند تا بتوانند ابزارهای امنیتی را غیرفعال کنند. مایکروسافت در این باره میگوید: با بهره‌گیری از اکانت‌های لو رفته، این گروه با سوء استفاده از تکنولوژی‌های EDR و مدیریت دستگاه‌ها ابزارهای آلوده خود را مجاز می‌کنند تا بتوانند ابزارهای مانیتورینگ و مدیریت از راه دور را نصب کنند. این ابزارها قابلیت حذف راهکارهای امنیتی و سرقت اطلاعات حساس را به آنها می‌دهند. سایر ابزارهایی که این گروه در حملاتشان از آنها بهره میگیرند به شرح زیر است:

  • ابزارهایی دسترسی از راه دور: ScreenConnect, FleetDesk, AnyDesk, RustDesk, Splashtop, Pluseway, TightVNC, LummaC2, Level.io, Mesh, TacticalRMM, Tailscale, Ngrock, WsTunnel, Rsocx, Socat
  • نصب Azure virtual machines برای دسترسی از راه دور از طریق RMM که اجازه مدیریت منابع از طریق Azure serial console را میدهد.
  • فعال کردن ورود چند مرحله ای برای اکانت های موجود
  • استفاده از ابزار تانلینگ Twingate ، که از Azure Container به عنوان روش برای اتصال به میزبانهای بدون دسترسی اینترنت استفاده می شود.

هکرها دادهای سرقت شده را به سرور‌های خود انتقال می‌دهند و برای اینکار از تکنیک منحصر به فردی استفاده می‌کنند که شامل بهره گیری از Azure Data Factory  و automated piplines است. همچنین برای انتقال سریعتر داده‌ها، هکرها از راهکارهای پشتیبانی گیری Microsoft 365  مانند: Veeam, AFI Backup  و CommVault استفاده می‌کنند و با ایجاد حساب کاربری قانونی در این پلتفرم‌ها دادها را به سرقت می‌برند.

همچنین مایکروسافت خاطرنشان می‌کند که شناسایی و مقابله با این گروه هکری با توجه به تکنیک‌های متنوع مهندسی اجتماعی و ابزارهای مختلفی که استفاده می‌کنند ساده نیست. اما پیشنهاد می‌شود که با استفاده از ابزارهای مانیتوریینگ و بازبینی فرآیندهای مرتبط با هویت، ابزارهای Azure و نظارت بر نقاط پایانی وجود چنین تهدیداتی را کشف و خنثی نمایند.

با اینکه گزارشی از تهدیدات این گروه Octo Tempest خطرناک در ایران دریافت نشده است ولی با توجه به پیشرفته بودن و تنوع حملات آنها، دلیل بسیار خوبی برای افزایش  آگاهی و پیش بینی راهکارهای لازم در برابر چنین حملاتی می‌باشد.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *