Microsoft a publié un profil détaillé d’un acteur menaçant anglophone doté de capacités avancées d’ingénierie sociale qu’il suit sous le nom d’Octo Tempest, qui cible les entreprises dans le cadre d’extorsions de données et d’attaques de ransomware.
Les attaques d’Octo Tempest ont régulièrement évolué depuis début 2022, étendant leur ciblage aux organisations fournissant des services de télécommunications par câble, de messagerie électronique et technologiques, et en s’associant au groupe de ransomware ALPHV/BlackCat.
Du vol de compte au ransomware
L’acteur menaçant a d’abord été observé en train de vendre des swaps de cartes SIM et de voler les comptes de personnes de haut niveau possédant des actifs de crypto-monnaie.
Fin 2022, Octa Tempest s’est tournée vers le phishing, l’ingénierie sociale, la réinitialisation en masse des mots de passe des clients des fournisseurs de services victimes de violations et le vol de données.
Plus tôt cette année, le groupe malveillant a attaqué des entreprises des secteurs du jeu, de l’hôtellerie, de la vente au détail, de la fabrication, de la technologie et de la finance, ainsi que des fournisseurs de services gérés (MSP).
Après être devenu affilié à ALPHV/BlackCat, Octa Tempest a déployé le ransomware à la fois pour voler et crypter les données des victimes.
Le groupe a utilisé son expérience accumulée pour créer des attaques plus avancées et agressives et a également commencé à monétiser les intrusions en extorquant les victimes après avoir volé des données.
Microsoft affirme qu’Octo Tempest a également utilisé des menaces physiques directes dans certains cas pour obtenir des connexions susceptibles de faire progresser son attaque.
Dans une étrange tournure des événements, Octo Tempest est devenu une filiale de l’opération de ransomware-as-a-service (RaaS) ALPHV/BlackCat, selon Microsoft, et en juin, ils ont commencé à déployer les charges utiles de ransomware Windows et Linux, en se concentrant sur VMware ESXi. serveurs ces derniers temps.
« Ceci est remarquable dans la mesure où, historiquement, les groupes de ransomware d’Europe de l’Est ont refusé de faire affaire avec des criminels anglophones » – Microsoft
Les attaques les plus récentes de ce groupe ciblent des organisations dans divers secteurs, notamment les jeux, les ressources naturelles, l’hôtellerie, les produits de consommation, la vente au détail, les fournisseurs de services gérés, l’industrie manufacturière, le droit, la technologie et les services financiers.
TTP Octo Tempest
Microsoft estime qu’Octo Tempest est un groupe bien organisé qui comprend des membres possédant des connaissances techniques approfondies et plusieurs opérateurs pratiques au clavier.
Les pirates obtiennent souvent un premier accès grâce à une ingénierie sociale avancée qui cible les comptes d’administrateurs techniques (par exemple, le personnel du support et du service d’assistance) disposant d’autorisations suffisantes pour poursuivre l’attaque.
Ils effectuent des recherches sur l’entreprise pour identifier les cibles dont ils peuvent se faire passer pour imiter les modèles de parole de l’individu lors des appels téléphoniques.
Ce faisant, ils incitent les administrateurs techniques à réinitialiser les mots de passe et à réinitialiser les méthodes d’authentification multifacteur (MFA).
D’autres méthodes d’accès initial incluent :
- inciter la cible à installer un logiciel de surveillance et de gestion à distance
- voler les connexions via des sites de phishing
- acheter des informations d’identification ou des jetons de session auprès d’autres cybercriminels
- Employés de phishing par SMS avec des liens vers de faux portails de connexion qui capturent les informations d’identification
- Échange de carte SIM ou renvoi d’appel
- Menaces directes de violence
Une fois qu’ils ont obtenu un accès suffisant, les pirates d’Octo Tempest commencent la phase de reconnaissance de l’attaque en énumérant les hôtes et les services et en collectant des informations qui permettraient d’abuser des canaux légitimes pour faire progresser l’intrusion.
« L’exportation groupée initiale des informations sur les utilisateurs, les groupes et les appareils est suivie de près par l’énumération des données et des ressources facilement disponibles pour le profil de l’utilisateur au sein d’une infrastructure de bureau virtuel ou de ressources hébergées par l’entreprise » – Microsoft
Octo Tempest procède ensuite à l’exploration de l’infrastructure, en énumérant les accès et les ressources dans les environnements cloud, les référentiels de code, les systèmes de gestion des serveurs et des sauvegardes.
Pour élever ses privilèges, l’acteur malveillant se tourne à nouveau vers l’ingénierie sociale, l’échange de carte SIM ou le transfert d’appel, et lance une réinitialisation en libre-service du mot de passe du compte de la cible.
Au cours de cette étape, les pirates informatiques renforcent la confiance avec la victime en utilisant des comptes compromis et en démontrant une compréhension des procédures de l’entreprise. S’ils disposent d’un compte de gestionnaire, ils approuvent eux-mêmes les demandes d’autorisations accrues.
Tant qu’ils y ont accès, Octo Tempest continue de rechercher des informations d’identification supplémentaires pour étendre leur portée. Ils utilisent des outils tels que Jercretz et TruffleHog pour automatiser la recherche de clés, de secrets et de mots de passe en texte brut dans les référentiels de code.
Pour garder leurs traces cachées, les pirates ciblent également les comptes du personnel de sécurité, ce qui leur permet de désactiver les produits et fonctionnalités de sécurité.
« En utilisant des comptes compromis, l’acteur malveillant exploite les technologies EDR et de gestion des appareils pour autoriser des outils malveillants, déployer des logiciels RMM, supprimer ou altérer des produits de sécurité, voler des données de fichiers sensibles (par exemple, des fichiers avec des informations d’identification, des bases de données de messagerie de signaux, etc.) et déployer des outils malveillants. charges utiles malveillantes »- Microsoft
Selon Microsoft, Octo Tempest tente de masquer sa présence sur le réseau en supprimant les alertes de changement et en modifiant les règles de la boîte aux lettres pour supprimer les e-mails qui pourraient éveiller les soupçons de violation de la victime.
Les chercheurs fournissent les outils et techniques supplémentaires suivants qu’Octo Tempest utilise dans ses attaques :
- outils open source : ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.io, Mesh, TacticalRMM, Tailscale, Ngrok, WsTunnel, Rsocx et Socat
- déployer des machines virtuelles Azure pour permettre l’accès à distance via l’installation RMM ou la modification des ressources existantes via la console série Azure
- ajout de méthodes MFA aux utilisateurs existants
- en utilisant l’outil de tunneling Twingate, qui exploite les instances Azure Container en tant que connecteur privé (sans exposition au réseau public)
Les pirates informatiques déplacent également les données volées vers leurs serveurs à l’aide d’une technique unique, qui implique Azure Data Factory et des pipelines automatisés pour se fondre dans les opérations Big Data typiques.
Pour exporter les bibliothèques de documents SharePoint et transférer les fichiers plus rapidement, il a souvent été observé que l’attaquant enregistrait des solutions de sauvegarde Microsoft 365 légitimes telles que Veeam, AFI Backup et CommVault.
Microsoft note que détecter ou traquer cet acteur menaçant dans un environnement n’est pas une tâche facile en raison de l’utilisation de l’ingénierie sociale, des techniques de survie et de la diversité des outils.
Cependant, les chercheurs fournissent un ensemble de directives générales qui pourraient aider à détecter les activités malveillantes, en commençant par la surveillance et l’examen des processus liés à l’identité, des environnements Azure et des points de terminaison.
Octo Tempest est motivé financièrement et atteint ses objectifs en volant des crypto-monnaies, en extorsion de données ou en cryptant des systèmes et en demandant une rançon.