L’acteur menaçant prolifique connu sous le nom de Araignée dispersée a été observé en train de se faire passer pour des employés nouvellement embauchés dans des entreprises ciblées comme un stratagème pour se fondre dans les processus normaux d’embauche, reprendre des comptes et pirater des organisations à travers le monde.
Microsoft, qui a révélé les activités de l’équipe de piratage à motivation financière, a décrit l’adversaire comme « l’un des groupes criminels financiers les plus dangereux », soulignant sa fluidité opérationnelle et sa capacité à intégrer le phishing par SMS, l’échange de cartes SIM et la fraude au service d’assistance dans ses activités. modèle d’attaque.
« Octo Tempest est un collectif d’acteurs malveillants anglophones motivés par des motivations financières, connus pour lancer des campagnes de grande envergure mettant en évidence les techniques d’adversaire au milieu (AiTM), l’ingénierie sociale et les capacités d’échange de cartes SIM », a déclaré la société. dit.
Il convient de noter que l’activité représentée par Octo Tempest est suivie par d’autres sociétés de cybersécurité sous divers noms, notamment 0ktapus, Scatter Swine et UNC3944, qui ont choisi à plusieurs reprises Okta pour obtenir des autorisations élevées et infiltrer des réseaux ciblés.
L’une des principales caractéristiques est le ciblage du personnel d’assistance et d’assistance via des attaques d’ingénierie sociale pour obtenir un accès initial aux comptes privilégiés, les incitant à réinitialiser le mot de passe de la victime et aux méthodes d’authentification multifacteur (MFA).
D’autres approches consistent à acheter les informations d’identification et/ou les jetons de session d’un employé sur un marché clandestin criminel, ou à appeler l’individu directement et socialement à manipuler l’utilisateur pour qu’il installe un utilitaire de surveillance et de gestion à distance (RMM), ou qu’il visite un faux portail de connexion en utilisant un Boîte à outils de phishing AiTMou supprimez leur jeton FIDO2.
Les premières attaques lancées par le groupe ciblaient les fournisseurs de télécommunications mobiles et les organisations d’externalisation des processus métiers (BPO) pour lancer des échanges de cartes SIM, avant de monétiser l’accès pour vendre des échanges de cartes SIM à d’autres criminels et effectuer des piratages de comptes d’individus fortunés à des fins de vol de crypto-monnaie. .
Octo Tempest a depuis diversifié son ciblage pour inclure les fournisseurs de services de messagerie et de technologie, les jeux, l’hôtellerie, la vente au détail, les fournisseurs de services gérés (MSP), la fabrication, la technologie et les secteurs financiers, tout en devenant simultanément une filiale du gang de ransomwares BlackCat au milieu de l’année. 2023 pour extorquer les victimes.
En d’autres termes, l’objectif final des attaques varie entre le vol de cryptomonnaie et l’exfiltration de données à des fins d’extorsion et de déploiement de ransomwares.
« De fin 2022 à début 2023, […] Octo Tempest a commencé à monétiser les intrusions en extorquant aux organisations victimes les données volées lors de leurs opérations d’intrusion et, dans certains cas, en recourant même à des menaces physiques », a déclaré Microsoft.
« Dans de rares cas, Octo Tempest recourt à des tactiques alarmistes, ciblant des individus spécifiques par le biais d’appels téléphoniques et de SMS. Ces acteurs utilisent des informations personnelles, telles que des adresses personnelles et des noms de famille, ainsi que des menaces physiques pour contraindre les victimes à partager leurs informations d’identification pour accéder à l’entreprise. « .
Une implantation réussie est suivie par les attaquants qui effectuent une reconnaissance de l’environnement et une élévation des privilèges, cette dernière étant réalisée au moyen de procédures de politique de mots de passe volés, de téléchargements massifs d’utilisateurs, de groupes et d’exportations de rôles.
Un autre métier remarquable est l’utilisation de comptes de personnel de sécurité compromis au sein des organisations victimes pour altérer le fonctionnement des produits de sécurité dans le but de passer inaperçus, en plus de falsifier les règles de la boîte aux lettres du personnel de sécurité pour supprimer automatiquement les e-mails des fournisseurs.
Le vaste arsenal d’outils et de tactiques employés par Octo Tempest, notamment l’inscription d’appareils contrôlés par des acteurs dans un logiciel de gestion d’appareils pour contourner les contrôles et la relecture des jetons récoltés avec des affirmations MFA satisfaites pour contourner MFA, est révélateur de sa vaste expertise technique et de sa capacité à naviguer dans des environnements complexes. environnements hybrides, a déclaré Redmond.
« Une technique unique utilisée par Octo Tempest consiste à compromettre l’infrastructure VMware ESXi, à installer la porte dérobée Linux open source Bedevil, puis à lancer des scripts VMware Python pour exécuter des commandes arbitraires sur des machines virtuelles hébergées », a expliqué la société.