Se ha observado que el prolífico actor de amenazas conocido como Scattered Spider se hace pasar por empleados recién contratados en empresas objetivo como una estratagema para mezclarse con los procesos normales de contratación y las cuentas de adquisición.
Microsoft, que reveló las actividades del grupo de piratas informáticos con fines financieros, describió al adversario como «uno de los grupos criminales financieros más peligrosos», destacando su fluidez operativa y su capacidad para incorporar phishing por SMS, intercambio de SIM y fraude en el servicio de asistencia técnica en sus operaciones. modelo de ataque.
«Octo Tempest es un colectivo motivado financieramente de actores de amenazas nativos de habla inglesa conocidos por lanzar campañas de amplio alcance que destacan técnicas de adversario en el medio (AiTM), ingeniería social y capacidades de intercambio de SIM», dijo la compañía .
Vale la pena señalar que la actividad representada por Octo Tempest es rastreada por otras empresas de ciberseguridad bajo varios apodos, incluidos 0ktapus, Scatter Swine y UNC3944, que ha señalado repetidamente a Okta para obtener permisos elevados e infiltrarse en redes específicas.
Una de las características clave es apuntar al personal de soporte y ayuda a través de ataques de ingeniería social para obtener acceso inicial a cuentas privilegiadas, engañándolos para que restablezcan la contraseña de la víctima y los métodos de autenticación multifactor (MFA).
Otros enfoques implican comprar las credenciales de un empleado y/o tokens de sesión en un mercado clandestino criminal, o llamar al individuo directamente y diseñar socialmente al usuario para que instale una utilidad de monitoreo y administración remota (RMM), visite un portal de inicio de sesión falso usando un kit de herramientas de phishing AiTM o eliminar su token FIDO2.
Los ataques iniciales organizados por el grupo se dirigieron a proveedores de telecomunicaciones móviles y organizaciones de subcontratación de procesos comerciales (BPO) para iniciar intercambios de SIM, antes de pasar a monetizar el acceso para vender intercambios de SIM a otros delincuentes y realizar apropiaciones de cuentas de personas de alto patrimonio neto para el robo de criptomonedas.
Desde entonces, Octo Tempest ha diversificado su objetivo para incluir proveedores de servicios tecnológicos y de correo electrónico, juegos, hotelería, comercio minorista, proveedores de servicios administrados (MSP), manufactura, tecnología y sectores financieros, al mismo tiempo que emergió como afiliado de la banda de ransomware BlackCat a mediados de 2023 para extorsionar a las víctimas.
Dicho de otra manera, el objetivo final de los ataques varía entre el robo de criptomonedas y la exfiltración de datos para extorsión y despliegue de ransomware.
«Desde finales de 2022 hasta principios de 2023, […] Octo Tempest comenzó a monetizar las intrusiones extorsionando a las organizaciones víctimas por datos robados durante sus operaciones de intrusión y, en algunos casos, incluso recurriendo a amenazas físicas», dijo Microsoft.
«En raras ocasiones, Octo Tempest recurre a tácticas para infundir miedo, dirigiéndose a personas específicas a través de llamadas telefónicas y mensajes de texto. Estos actores utilizan información personal, como domicilios y apellidos, junto con amenazas físicas para obligar a las víctimas a compartir credenciales para el acceso corporativo. «.
Una posición exitosa es seguida por los atacantes que llevan a cabo un reconocimiento del entorno y una escalada de privilegios, este último de los cuales se logra mediante procedimientos de políticas de contraseñas robadas y descargas masivas de exportaciones de usuarios, grupos y roles.
Otro truco digno de mención es el uso de cuentas de personal de seguridad comprometidas dentro de las organizaciones víctimas para perjudicar el funcionamiento de los productos de seguridad en un intento de pasar desapercibido, además de alterar las reglas del buzón de correo del personal de seguridad para eliminar automáticamente los correos electrónicos de los proveedores.
El amplio arsenal de herramientas y tácticas empleadas por Octo Tempest, incluida la inscripción de dispositivos controlados por actores en el software de administración de dispositivos para evitar los controles y la reproducción de tokens recolectados con afirmaciones satisfechas de MFA para evitar MFA, es indicativo de su amplia experiencia técnica y su capacidad para navegar complejos. entornos híbridos, dijo Redmond.
«Una técnica única que utiliza Octo Tempest es comprometer la infraestructura de VMware ESXi, instalar la puerta trasera de código abierto de Linux Bedevil y luego lanzar scripts de VMware Python para ejecutar comandos arbitrarios contra máquinas virtuales alojadas», explicó la compañía.
Fuente y redacción: thehackernews.com