Eylül ayında MGM Resorts International ve Caesars Entertainment’a saldırmaktan sorumlu olan mali motivasyonlu bilgisayar korsanlığı grubu Octo Tempest, Microsoft’un Olay Müdahalesi ve Tehdit İstihbaratı ekibi tarafından “en tehlikeli mali suç gruplarından biri” olarak damgalandı.
0ktapus, Scattered Spider ve UNC3944 olarak da bilinen grup, 2022’nin başından bu yana faaliyet gösteriyor ve başlangıçta SIM takas saldırılarıyla telekom ve dış kaynak şirketlerini hedef alıyor.
Daha sonra çalınan verileri kullanarak şantaj yapmaya yöneldi ve 2023’ün ortalarına gelindiğinde grup ALPHV/BlackCat fidye yazılımıyla ortaklık kurarak başlangıçta ALPHV Collections sızıntı sitesinden yararlandı ve daha sonra VMWare ESXi sunucularına odaklanarak fidye yazılımını dağıttı.
Microsoft’un grup ve grubun kapsamlı taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkındaki ayrıntılı gönderisi, Octo Tempest’in evrimini ve operasyonlarının akışkanlığını ayrıntılarıyla anlatıyor.
“Son kampanyalarda Octo Tempest’in karmaşık hibrit ortamlarda gezinmek, hassas verileri sızdırmak ve verileri şifrelemek için çok çeşitli TTP’lerden yararlandığını gözlemledik.” rapor notları. “Octo Tempest, SMS kimlik avı, SIM değiştirme ve gelişmiş sosyal mühendislik teknikleri gibi birçok kuruluşun tipik tehdit modellerinde bulunmayan ticari becerileri kullanıyor.”
Çok Silahlı 0ktapus Siber Suçların Başucu Kitabı
Grup, ilk erişimi gelişmiş sosyal ileri sosyal mühendislik teknikleri yoluyla elde ediyor ve genellikle destek ve yardım masası personeli de dahil olmak üzere ağ izinlerine erişimi olan çalışanları hedef alıyor.
Saldırganlar bu kişileri arayarak onları kullanıcı parolalarını sıfırlamaya, kimlik doğrulama belirteçlerini değiştirmeye veya eklemeye ya da bir uzaktan izleme ve yönetim (RMM) yardımcı programı yüklemeye ikna etmeye çalışır.
Grup, kurbanları kurumsal erişim kimlik bilgilerini paylaşmaya zorlamak için ev adresleri ve aile adları gibi kişisel bilgilerden yararlanmanın ve hatta fiziksel tehditlerde bulunmanın ötesine geçmiyor.
Saldırıların ilk aşamalarında Octo Tempest, kullanıcılar, gruplar ve cihaz bilgileri hakkında veri toplamayı ve ağ mimarisini, çalışanların katılımını ve şifre politikalarını keşfetmeyi içeren kapsamlı bir keşif gerçekleştiriyor.
Grup, Active Directory keşfi için PingCastle ve ADRecon ve depolama dizilerini numaralandırmak için PureStorage FlashArray PowerShell SDK gibi araçları kullanıyor.
Çoklu bulut ortamlarının, kod depolarının ve sunucu altyapısının derinliklerine ulaşarak erişimi doğrulamayı ve sonraki saldırı aşamaları için dayanak noktaları planlamayı amaçlıyorlar; bu süreç, grubun hedeflenen ortamlar içindeki faaliyetlerini geliştirmesine yardımcı olan bir süreç.
Ruslarla Ortaklık: Taktiklerin ve Araçların Eşi görülmemiş Birleşimi
Critical Start’ın siber tehdit araştırması kıdemli yöneticisi Callie Guenther, İngilizce konuşan Octo Tempest’in Rusça konuşan BlackCat grubuyla olan ilişkisinin, kaynakların, teknik araçların ve gelişmiş fidye yazılımı taktiklerinin “benzeri görülmemiş bir birleşimi” anlamına geldiğini söylüyor.
“Tarihsel olarak, Doğu Avrupalılar ile İngilizce konuşan siber suçlular arasında sürdürülen farklı sınırlar, bir nevi bölgesel sınırlamaya benziyordu” diye açıklıyor. “Artık bu ittifak Octo Tempest’in hem coğrafi olarak hem de potansiyel hedefler açısından daha geniş bir alanda faaliyet göstermesine olanak sağlıyor.”
Doğu Avrupa siber uzmanlığının İngilizce konuşan bağlı kuruluşların dilsel ve kültürel nüanslarıyla yakınlaşmasının, saldırıların yerelliğini ve etkinliğini artırdığını belirtiyor.
Onun bakış açısına göre Octo Tempest’in kullandığı çok yönlü yaklaşım özellikle endişe verici.
“Teknik becerilerinin ötesinde, sosyal mühendislik sanatında ustalaştılar, taktiklerini taklit etme ve hedeflenen kuruluşlara sorunsuz bir şekilde uyum sağlama konusunda uyarladılar” diyor. “Bu, müthiş BlackCat fidye yazılımı grubuyla uyumlarıyla birleştiğinde, tehdit çeşitliliğini artırıyor.”
Kendisi, asıl endişenin, belirli sektörlerden daha geniş bir yelpazeye yayıldıklarını ve artık doğrudan fiziksel tehditlere başvurmaktan korkmadıklarını fark ettiklerinde ortaya çıktığını, bunun da siber suç taktiklerinde endişe verici bir artışa işaret ettiğini belirtiyor.
Delinea’nın siber güvenlik savunucusu Tony Goulding, karmaşık tekniklerin, hedeflenen geniş sektör kapsamının ve saldırgan yaklaşımlarının (hatta fiziksel tehditlere başvurmanın) grubun en tehlikeli yönleri olduğunu kabul ediyor.
“Kuruluşların çok endişelenmesi gerekiyor” diye açıklıyor. “Anadili İngilizce olan bu kişiler, BlackCat’e kıyasla geniş kapsamlı sosyal mühendislik kampanyalarını daha etkili bir şekilde başlatabilirler.”
Bunun özellikle telefon görüşmeleri sırasında çalışanları ikna edici bir şekilde taklit etmek için idiolect yöntemlerini kullanırken faydalı olduğunu söylüyor.
“İngilizce yeterliliği aynı zamanda SMS kimlik avı ve SIM değiştirme teknikleri için daha ikna edici kimlik avı mesajları oluşturmalarına da yardımcı oluyor” diye ekliyor.
Derinlemesine Savunma
Günther, Octo Tempest’in mali uğraşlarına karşı savunmanın, sınırlı erişim sağlamak için en az ayrıcalık ilkesine bağlı kalarak bir dizi proaktif ve reaktif önlemi içerdiğini söylüyor.
“Çevrimiçi maruziyeti en aza indirmek için kripto para birimleri çevrimdışı soğuk cüzdanlarda saklanmalıdır” tavsiyesinde bulunuyor. “Sürekli sistem güncellemeleri ve fidye yazılımına karşı koruma çözümleri, çoğu fidye yazılımı dağıtımını engelleyebilir.”
Gelişmiş ağ izleme, olası veri sızdırma girişimlerinin göstergesi olan anormal veri akışlarını tespit edebilir.
“İhlal veya saldırı durumunda, yerleşik bir olay müdahale stratejisi acil eylemlere rehberlik edebilir” diye ekliyor. “Sektördeki benzerleriyle işbirliğine dayalı tehdit istihbaratı paylaşımı, kuruluşların yeni ortaya çıkan tehditler ve karşı önlemler konusunda güncel kalmasını da sağlayabilir.”
Goulding, ayrıcalıklı hesapları koruyan ve iş istasyonlarına ve sunuculara erişimi koruyan eğitim, farkındalık eğitimi ve teknik kontrollerin önemli olduğuna dikkat çekiyor.
“Saldırı zinciri boyunca tehdit aktörlerinin yoluna engeller koymak, onları taktiklerinden saptırmak ve gürültü çıkarmak erken tespit açısından son derece önemlidir” diyor. “Saldırı grubu ne kadar gelişmiş ve yetkin olursa, o kadar iyi hazırlıklı olurlar; bu nedenle, modern yetenekleri içeren en iyi araçlara yatırım yapmak en iyi seçeneğinizdir.”