Microsoft pomno prati aktivnosti hakerske grupe poznate kao Octo Tempest. Ova grupa se pojavila kao glavna briga za kompanije u različitim sektorima zbog svojih finansijskih motiva i sofisticiranih taktika. Octo Tempest je poznat po svojim širokim kampanjama društvenog inženjeringa, koje imaju za cilj da kompromituju organizacije širom svijeta s namjerom finansijske iznude.
Malo o Octo Tempestu
Nastao kao finansijski vođena hakerska grupa maternjeg engleskog govornog područja, Octo Tempest je postao poznat po svojim opsežnim tehnikama protivnik u sredini (AiTM), društvenom inženjeringu i mogućnostima zamjene SIM kartica.
- Preklapajući se s drugim poznatim hakerskim grupama, Octo Tempest je započeo svoje poslovanje 2022. ciljajući subjekte za mobilne telekomunikacije i eksternaliziranje poslovnih procesa.
- Krajem 2022. i početkom 2023. napadači su počeli iznuđivati organizacije koristeći ukradene podatke, a u nekim slučajevima čak i pribjegavali fizičkim prijetnjama.
- U značajnom razvoju, do sredine 2023. godine, Octo Tempest je bio povezan sa ALPHV/BlackCat-om i počeo je da koristi ransomware.
Modus operandi
- Jedna od potpisnih tehnika Octo Tempest- a uključuje krađu SMS poruka, zajedno sa zamjenom SIM kartice, omogućavajući im da dobiju kontrolu nad telefonskim brojem korisnika, pružajući pristup višestrukim oblicima ličnih i finansijskih podataka.
- Napredni društveni inženjering ostaje u središtu njihovog poslovanja. Oponašanjem novih zaposlenika ili oponašanjem idiolekta tokom telefonskih poziva, Octo Tempest obmanjuje tehničke administratore, navodeći ih da nenamjerno daju pristup ili resetiraju mjere autentifikacije.
- Ostali alati koje koristi grupa uključuju DBeaver, MongoDB Compass, Azure SQL Query Editor i Cerebrata. Octo Tempest, nadalje, koristi Azure Data Factory za diskretno izdvajanje podataka na eksterne servere Secure File Transfer Protocol (SFTP).
Zaključak
S obzirom na nemilosrdnu evoluciju i agresivan pristup Octo Tempest-a, organizacije moraju biti proaktivne u svojim odbrambenim strategijama. Neophodno je razumjeti i uskladiti privilegije unutar sistema kao što su Microsoft Entra ID i Azure, segmentirati Azure zone za slijetanje i implementirati robusne politike uslovnog pristupa. Pored toga, organizacije bi trebalo da daju prioritet edukaciji korisnika, naglašavajući značaj stalne svesti o uobičajenim sajber pretnjama.
Izvor: Cyware Alerts – Hacker News