Peretas terkenal yang dikenal sebagai Scattered Spider terlihat menyamar sebagai karyawan baru di perusahaan target. Ini adalah taktik untuk menyusup ke proses rekrutmen dan pengambilalihan akun normal serta pelanggaran organisasi di seluruh dunia.
Microsoft, yang mengungkap operasi kelompok peretas yang bermotif finansial, menggambarkan Scattered Spider sebagai “salah satu kelompok kejahatan finansial paling berbahaya”, dengan alasan kelancaran operasional dan kemampuannya.
Baca Juga : Tortoiseshell, Sumber Gelombang Serangan Baru dari Hacker Iran Menyerang Israel
“Octo Tempest adalah grup berbahasa Inggris yang bermotivasi finansial dan dikenal karena meluncurkan kampanye berskala besar menggunakan teknik adversary-in-the-middle (AiTM), rekayasa sosial, dan kemampuan pertukaran kartu SIM,” kata perusahaan itu, seperti yang dikutip dari The Hacker News.
Perlu dicatat bahwa aktivitas yang diwakili oleh Octo Tempest diikuti oleh perusahaan keamanan siber lainnya dengan nama berbeda, termasuk 0ktapus, Scatter Swine, dan UNC3944, yang telah berulang kali memilih Okta untuk otoritas yang lebih tinggi dan menyusup ke jaringan target.
Salah satu karakteristik utamanya adalah mengarahkan dukungan dan berkonsultasi dengan staf melalui serangan rekayasa sosial untuk mendapatkan akses awal ke akun istimewa dengan mengelabui mereka agar mengatur ulang kata sandi korban dan menggunakan metode otentikasi multi-faktor (MFA). Pendekatan lain mengharuskan karyawan untuk membeli kredensial dan/atau lisensi sesi dari pasar kriminal bawah tanah, atau dengan mengundang individu tersebut secara langsung dan merekayasa sosial pengguna untuk menginstal utilitas pemantauan dan manajemen jarak jauh (RMM), mengunjungi portal login palsu dengan AiTM. perangkat phishing, atau hapus ID FIDO2 mereka.
The Hacker News menggambarkan serangan awal kelompok tersebut dengan menargetkan penyedia telepon seluler dan organisasi outsourcing proses bisnis untuk mengoperasikan pertukaran SIM, sebelum melanjutkan untuk menjual kartu SIM ke penjahat lain dan mengendalikan jaringan internet besar. individu yang berharga untuk pencurian cryptocurrency.
Octo Tempest telah mendiversifikasi targetnya untuk mencakup penyedia layanan email dan teknologi, game, restoran, ritel, penyedia layanan terkelola (MSP), manufaktur, teknologi, dan sektor keuangan, yang muncul sebagai afiliasi dari geng ransomware BlackCat pada pertengahan tahun 2023.
Dengan kata lain, tujuan akhir dari serangan ini bervariasi antara mencuri mata uang kripto dan memeras data untuk pemerasan dan distribusi ransomware. “Antara akhir tahun 2022 dan awal tahun 2023, Octo Tempest mulai memonetisasi intrusi tersebut dengan memeras informasi yang dicuri dari intrusi mereka dari organisasi korban, dan dalam beberapa kasus bahkan menggunakan ancaman fisik,” kata Microsoft.
“Dalam kesempatan yang jarang terjadi, Octo Tempest menggunakan taktik menakut-nakuti dan menargetkan individu tertentu melalui panggilan telepon dan pesan teks. Aktor-aktor ini menggunakan informasi pribadi seperti alamat rumah dan nama belakang, serta ancaman fisik, untuk memaksa korban membagikan kredensial guna mendapatkan akses ke perusahaan.”
Baca Juga : Jelang Pemilu 2024, Isu Hoax yang Beredar Meningkat Hampir 10 Kali Lipat
Setelah berhasil melakukan pijakan, penyerang melakukan pemindaian lingkungan dan peningkatan hak istimewa. Yang terakhir ini dicapai dengan memuat ekspor kebijakan kata sandi, pengguna, grup, dan peran yang dicuri secara massal. Bisnis penting lainnya adalah mengkompromikan akun personel keamanan di organisasi korban untuk mengganggu produk keamanan dalam upaya untuk tidak terdeteksi radar, selain melanggar aturan kotak masuk personel keamanan untuk secara otomatis menghapus email dari pemasok.
“Berbagai macam alat dan taktik yang digunakan oleh Octo Tempest, termasuk mendaftarkan perangkat yang dikontrol aktor dengan perangkat lunak manajemen perangkat untuk melewati kontrol dan memutar ulang token yang ditangkap dengan persyaratan MFA yang memuaskan untuk melewati MFA, merupakan bukti keahlian teknisnya yang luas dan kemampuan untuk bernavigasi .kompleksitas,” kata Redmond.
“Teknik unik yang digunakan oleh Octo Tempest melibatkan kompromi infrastruktur VMware ESXi, menginstal backdoor Linux Bedevil open source, dan kemudian menjalankan skrip VMware Python untuk menjalankan perintah khusus.”
