導(dǎo)語

最近，微軟發(fā)布了一份關(guān)于金融黑客組織Octo Tempest的詳細(xì)報告。這個組織以其高級社交工程能力而聞名，專門針對從事數(shù)據(jù)勒索和勒索軟件攻擊的企業(yè)。Octo Tempest的攻擊手段不斷演變，目標(biāo)范圍也不斷擴大，成為了電纜電信、電子郵件、技術(shù)服務(wù)等組織的目標(biāo)，并與ALPHV/BlackCat勒索軟件組織合作。本文將介紹Octo Tempest的進化過程、攻擊手段以及如何檢測和防范他們的攻擊。

金融黑客組織Octo Tempest的進化

Octo Tempest最初被觀察到出售SIM卡交換并盜取持有加密貨幣資產(chǎn)的高知名度個人賬戶。然而，在2022年底，他們開始采用釣魚、社交工程和大規(guī)模重置受侵犯服務(wù)提供商客戶密碼等手段。今年早些時候，這個威脅組織對游戲、酒店、零售、制造、技術(shù)和金融等行業(yè)的公司以及托管服務(wù)提供商進行了攻擊。成為ALPHV/BlackCat的合作伙伴后，Octo Tempest開始使用勒索軟件來竊取和加密受害者的數(shù)據(jù)。

Octo Tempest利用他們積累的經(jīng)驗構(gòu)建了更高級和更具攻擊性的攻擊，并開始在竊取數(shù)據(jù)后勒索受害者。微軟表示，Octo Tempest在某些情況下還使用直接威脅來獲取登錄信息，以推進他們的攻擊。

Octo Tempest的攻擊手段

Octo Tempest是一個組織嚴(yán)密的團隊，成員具有廣泛的技術(shù)知識和多個操作員。他們通常通過針對技術(shù)管理員（如支持和幫助臺人員）的高級社交工程來獲得初始訪問權(quán)限。他們研究公司，確定可以模仿的目標(biāo)，并在電話中模仿個人的語音模式，以欺騙技術(shù)管理員執(zhí)行密碼重置和重置多因素認(rèn)證（MFA）方法。

一旦獲得足夠的訪問權(quán)限，Octo Tempest黑客開始進行偵察階段，枚舉主機和服務(wù)，并收集信息，以便濫用合法渠道推進入侵。他們還使用社交工程、SIM卡交換或呼叫轉(zhuǎn)移等方法來提升權(quán)限，并啟動目標(biāo)賬戶的自助密碼重置。在這一步驟中，黑客使用被入侵的賬戶與受害者建立信任，并展示對公司流程的了解。如果他們擁有經(jīng)理的賬戶，他們會自己批準(zhǔn)增加權(quán)限的請求。

只要他們有訪問權(quán)限，Octo Tempest就會繼續(xù)尋找額外的憑證來擴大攻擊范圍。他們使用Jercretz和TruffleHog等工具自動搜索代碼庫中的明文密鑰、秘密和密碼。為了隱藏自己的行蹤，黑客還攻擊安全人員的賬戶，這使他們能夠禁用安全產(chǎn)品和功能。

根據(jù)微軟的說法，Octo Tempest還通過抑制變更警報和修改郵箱規(guī)則來隱藏他們在網(wǎng)絡(luò)上的存在，以刪除可能引起受害者對入侵的懷疑的電子郵件。

如何檢測和防范Octo Tempest的攻擊

檢測或追蹤Octo Tempest在環(huán)境中的活動并不容易，因為他們使用了社交工程、隱形技術(shù)和多樣化的工具。然而，微軟的研究人員提供了一系列通用的指導(dǎo)方針，可以幫助檢測惡意活動，包括監(jiān)控和審查與身份相關(guān)的流程、Azure環(huán)境和終端設(shè)備。

Octo Tempest是一個以金錢為動機的組織，通過竊取加密貨幣、勒索數(shù)據(jù)或加密系統(tǒng)并索要贖金來實現(xiàn)其目標(biāo)。

總結(jié)

微軟發(fā)布的報告揭示了金融黑客組織Octo Tempest的危險性和攻擊手段。這個組織以其高級社交工程能力而聞名，攻擊范圍不斷擴大。為了防范Octo Tempest的攻擊，我們需要加強對身份相關(guān)的流程、Azure環(huán)境和終端設(shè)備的監(jiān)控和審查。只有保持警惕并采取適當(dāng)?shù)姆雷o措施，我們才能更好地保護我們的數(shù)據(jù)和系統(tǒng)安全。