Octo Tempest Grubu Sosyal Mühendislik Taktiği Olarak Fiziksel Şiddeti Tehdit Ediyor - Dünyadan Güncel Teknoloji Haberleri

Octo Tempest Grubu Sosyal Mühendislik Taktiği Olarak Fiziksel Şiddeti Tehdit Ediyor - Dünyadan Güncel Teknoloji Haberleri
“Anadili İngilizce olan bu kişiler, BlackCat’e kıyasla geniş kapsamlı sosyal mühendislik kampanyalarını daha etkili bir şekilde başlatabilirler “Artık bu ittifak Octo Tempest’in hem coğrafi olarak hem de potansiyel hedefler açısından daha geniş bir alanda faaliyet göstermesine olanak sağlıyor ”

Gelişmiş ağ izleme, olası veri sızdırma girişimlerinin göstergesi olan anormal veri akışlarını tespit edebilir ”

Doğu Avrupa siber uzmanlığının İngilizce konuşan bağlı kuruluşların dilsel ve kültürel nüanslarıyla yakınlaşmasının, saldırıların yerelliğini ve etkinliğini artırdığını belirtiyor



Eylül ayında MGM Resorts International ve Caesars Entertainment’a saldırmaktan sorumlu olan mali motivasyonlu bilgisayar korsanlığı grubu Octo Tempest, Microsoft’un Olay Müdahalesi ve Tehdit İstihbaratı ekibi tarafından “en tehlikeli mali suç gruplarından biri” olarak damgalandı “Sürekli sistem güncellemeleri ve fidye yazılımına karşı koruma çözümleri, çoğu fidye yazılımı dağıtımını engelleyebilir

Delinea’nın siber güvenlik savunucusu Tony Goulding, karmaşık tekniklerin, hedeflenen geniş sektör kapsamının ve saldırgan yaklaşımlarının (hatta fiziksel tehditlere başvurmanın) grubun en tehlikeli yönleri olduğunu kabul ediyor

Grup, kurbanları kurumsal erişim kimlik bilgilerini paylaşmaya zorlamak için ev adresleri ve aile adları gibi kişisel bilgilerden yararlanmanın ve hatta fiziksel tehditlerde bulunmanın ötesine geçmiyor ”



siber-1

“Son kampanyalarda Octo Tempest’in karmaşık hibrit ortamlarda gezinmek, hassas verileri sızdırmak ve verileri şifrelemek için çok çeşitli TTP’lerden yararlandığını gözlemledik ”

Çok Silahlı 0ktapus Siber Suçların Başucu Kitabı

Grup, ilk erişimi gelişmiş sosyal ileri sosyal mühendislik teknikleri yoluyla elde ediyor ve genellikle destek ve yardım masası personeli de dahil olmak üzere ağ izinlerine erişimi olan çalışanları hedef alıyor

Onun bakış açısına göre Octo Tempest’in kullandığı çok yönlü yaklaşım özellikle endişe verici “Octo Tempest, SMS kimlik avı, SIM değiştirme ve gelişmiş sosyal mühendislik teknikleri gibi birçok kuruluşun tipik tehdit modellerinde bulunmayan ticari becerileri kullanıyor

“İhlal veya saldırı durumunda, yerleşik bir olay müdahale stratejisi acil eylemlere rehberlik edebilir” diye ekliyor ” rapor notları

Derinlemesine Savunma

Günther, Octo Tempest’in mali uğraşlarına karşı savunmanın, sınırlı erişim sağlamak için en az ayrıcalık ilkesine bağlı kalarak bir dizi proaktif ve reaktif önlemi içerdiğini söylüyor “Bu, müthiş BlackCat fidye yazılımı grubuyla uyumlarıyla birleştiğinde, tehdit çeşitliliğini artırıyor

“Tarihsel olarak, Doğu Avrupalılar ile İngilizce konuşan siber suçlular arasında sürdürülen farklı sınırlar, bir nevi bölgesel sınırlamaya benziyordu” diye açıklıyor “Sektördeki benzerleriyle işbirliğine dayalı tehdit istihbaratı paylaşımı, kuruluşların yeni ortaya çıkan tehditler ve karşı önlemler konusunda güncel kalmasını da sağlayabilir

“İngilizce yeterliliği aynı zamanda SMS kimlik avı ve SIM değiştirme teknikleri için daha ikna edici kimlik avı mesajları oluşturmalarına da yardımcı oluyor” diye ekliyor

Ruslarla Ortaklık: Taktiklerin ve Araçların Eşi görülmemiş Birleşimi

Critical Start’ın siber tehdit araştırması kıdemli yöneticisi Callie Guenther, İngilizce konuşan Octo Tempest’in Rusça konuşan BlackCat grubuyla olan ilişkisinin, kaynakların, teknik araçların ve gelişmiş fidye yazılımı taktiklerinin “benzeri görülmemiş bir birleşimi” anlamına geldiğini söylüyor

“Teknik becerilerinin ötesinde, sosyal mühendislik sanatında ustalaştılar, taktiklerini taklit etme ve hedeflenen kuruluşlara sorunsuz bir şekilde uyum sağlama konusunda uyarladılar” diyor

“Çevrimiçi maruziyeti en aza indirmek için kripto para birimleri çevrimdışı soğuk cüzdanlarda saklanmalıdır” tavsiyesinde bulunuyor

Microsoft’un grup ve grubun kapsamlı taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkındaki ayrıntılı gönderisi, Octo Tempest’in evrimini ve operasyonlarının akışkanlığını ayrıntılarıyla anlatıyor

Saldırıların ilk aşamalarında Octo Tempest, kullanıcılar, gruplar ve cihaz bilgileri hakkında veri toplamayı ve ağ mimarisini, çalışanların katılımını ve şifre politikalarını keşfetmeyi içeren kapsamlı bir keşif gerçekleştiriyor

“Saldırı zinciri boyunca tehdit aktörlerinin yoluna engeller koymak, onları taktiklerinden saptırmak ve gürültü çıkarmak erken tespit açısından son derece önemlidir” diyor

“Kuruluşların çok endişelenmesi gerekiyor” diye açıklıyor

0ktapus, Scattered Spider ve UNC3944 olarak da bilinen grup, 2022’nin başından bu yana faaliyet gösteriyor ve başlangıçta SIM takas saldırılarıyla telekom ve dış kaynak şirketlerini hedef alıyor

Grup, Active Directory keşfi için PingCastle ve ADRecon ve depolama dizilerini numaralandırmak için PureStorage FlashArray PowerShell SDK gibi araçları kullanıyor

Çoklu bulut ortamlarının, kod depolarının ve sunucu altyapısının derinliklerine ulaşarak erişimi doğrulamayı ve sonraki saldırı aşamaları için dayanak noktaları planlamayı amaçlıyorlar; bu süreç, grubun hedeflenen ortamlar içindeki faaliyetlerini geliştirmesine yardımcı olan bir süreç ”

Kendisi, asıl endişenin, belirli sektörlerden daha geniş bir yelpazeye yayıldıklarını ve artık doğrudan fiziksel tehditlere başvurmaktan korkmadıklarını fark ettiklerinde ortaya çıktığını, bunun da siber suç taktiklerinde endişe verici bir artışa işaret ettiğini belirtiyor ”

Bunun özellikle telefon görüşmeleri sırasında çalışanları ikna edici bir şekilde taklit etmek için idiolect yöntemlerini kullanırken faydalı olduğunu söylüyor

Daha sonra çalınan verileri kullanarak şantaj yapmaya yöneldi ve 2023’ün ortalarına gelindiğinde grup ALPHV/BlackCat fidye yazılımıyla ortaklık kurarak başlangıçta ALPHV Collections sızıntı sitesinden yararlandı ve daha sonra VMWare ESXi sunucularına odaklanarak fidye yazılımını dağıttı ”

Goulding, ayrıcalıklı hesapları koruyan ve iş istasyonlarına ve sunuculara erişimi koruyan eğitim, farkındalık eğitimi ve teknik kontrollerin önemli olduğuna dikkat çekiyor “Saldırı grubu ne kadar gelişmiş ve yetkin olursa, o kadar iyi hazırlıklı olurlar; bu nedenle, modern yetenekleri içeren en iyi araçlara yatırım yapmak en iyi seçeneğinizdir

Saldırganlar bu kişileri arayarak onları kullanıcı parolalarını sıfırlamaya, kimlik doğrulama belirteçlerini değiştirmeye veya eklemeye ya da bir uzaktan izleme ve yönetim (RMM) yardımcı programı yüklemeye ikna etmeye çalışır