微軟發布了一個以英語為母語的威脅行為者的詳細資料，該威脅行為者具有先進的社會工程能力，被追蹤為 Octo Tempest，該威脅行為者的目標是進行數據勒索和勒索軟件攻擊的公司。

　　自 2022 年初以來，Octo Tempest 的攻擊穩步發展，將攻擊目標擴大到提供有線電信、電子郵件和技術服務的組織，并與 ALPHV/BlackCat 勒索軟件組織合作。

　　從帳戶盜竊到勒索軟件

　　最初觀察到威脅行為者出售 SIM 卡交換并竊取擁有加密貨幣資產的知名人士的賬戶。

　　黑客通常通過高級社會工程獲得初始訪問權限，該社會工程以具有足夠權限的技術管理員（例如支持和服務臺人員）的帳戶為目標，以進一步實施攻擊。

　　他們對公司進行研究，以確定可以模仿的目標，達到模仿電話中個人的語音模式的程度。

　　通過這樣做，他們誘騙技術管理員執行密碼重置并重置多重身份驗證 (MFA) 方法。

　　初始訪問的其他方法包括：

　　誘騙目標安裝遠程監控和管理軟件

　　通過網絡釣魚網站竊取登錄信息

　　從其他網絡犯罪分子那里購買憑證或會話令牌

　　短信網絡釣魚員工帶有可捕獲憑據的虛假登錄門戶的鏈接

　　SIM 卡交換或呼叫轉移

　　直接暴力威脅

　　一旦獲得足夠的訪問權限，Octo Tempest 黑客就會通過枚舉主機和服務并收集允許濫用合法通道進行入侵的信息來開始攻擊的偵察階段。

　　“用戶、組和設備信息的初始批量導出之后，緊隨其后的是在虛擬桌面基礎架構或企業托管資源中枚舉可供用戶配置文件隨時使用的數據和資源”- Microsoft

　　然后，Octo Tempest 繼續探索基礎設施，枚舉跨云環境、代碼存儲庫、服務器和備份管理系統的訪問和資源。

　　為了提升權限，威脅行為者再次求助于社會工程、SIM 交換或呼叫轉接，并啟動目標帳戶的自助密碼重置。

　　在此步驟中，黑客通過使用受損帳戶并表現出對公司程序的了解來與受害者建立信任。如果他們擁有經理帳戶，他們會自行批準增加權限的請求。

　　只要他們有訪問權限，Octo Tempest 就會繼續尋找其他憑證來擴大他們的影響力。他們使用 Jercretz 和 TruffleHog 等工具來自動搜索代碼存儲庫中的明文密鑰、機密和密碼。

　　為了隱藏自己的蹤跡，黑客還針對安全人員的帳戶，這使他們能夠禁用安全產品和功能。

　　“利用受感染的帳戶，威脅行為者利用 EDR 和設備管理技術來允許惡意工具、部署 RMM 軟件、刪除或損害安全產品、竊取敏感文件的數據（例如帶有憑據的文件、信號消息數據庫等），并部署惡意負載”——微軟

　　據微軟稱，Octo Tempest 試圖通過抑制更改警報并修改郵箱規則來刪除可能引起受害者懷疑存在違規行為的電子郵件來隱藏其在網絡上的存在。

　　研究人員提供了 Octo Tempest 在攻擊中使用的以下附加工具和技術：

　　開源工具：  ScreenConnect、  FleetDeck、  AnyDesk、  RustDesk、  Splashtop、  Pulseway、  TightVNC、LummaC2、Level.io、Mesh、  TacticalRMM、  Tailscale、  Ngrok、  WsTunnel、  Rsocx和 Socat

　　部署 Azure 虛擬機以通過 RMM 安裝實現遠程訪問或通過 Azure 串行控制臺修改現有資源

　　向現有用戶添加 MFA 方法

　　使用隧道工具 Twingate，該工具利用 Azure 容器實例作為專用連接器（不暴露公共網絡）

　　黑客還使用一種獨特的技術將竊取的數據轉移到他們的服務器，其中涉及 Azure 數據工廠和自動化管道，以融入典型的大數據操作。

　　為了導出 SharePoint 文檔庫并更快地傳輸文件，攻擊者經常注冊合法的 Microsoft 365 備份解決方案，例如 Veeam、AFI Backup 和 CommVault。

　　微軟指出，由于使用了社會工程、靠地生活技術和多樣化的工具，在環境中檢測或追捕這種威脅行為者并不是一件容易的事。

　　不過，研究人員提供了一組通用指南，可以幫助檢測惡意活動，首先是監視和審查與身份相關的進程、Azure 環境和端點。

　　Octo Tempest 出于經濟動機，通過竊取加密貨幣、竊取數據勒索或加密系統并索要贖金來實現其目標。