Microsoft Incident Response チームと Microsoft Threat Intelligence チームによる新しいレポートでは、高度なソーシャル エンジニアリング手法を駆使して企業を標的にし、データを盗み出し、ランサムウェア キャンペーンを実行する、金銭目的の脅威アクターである Octo Tempest の活動と継続的な進化が明らかにされました。
ジャンプ先:
- オクト・テンペストの戦術、テクニック、手順
- オクト・テンペストとは誰ですか?
- Octo Tempestの脅威から身を守る方法
オクト・テンペストの戦術、テクニック、手順
脅威の実行者は、さまざまな戦術、技術、手順を展開して、攻撃を成功させます。
初期アクセス
Octo Tempestは、通常、ソーシャルエンジニアリング攻撃を駆使し、技術管理者、サポート担当者、ヘルプデスク担当者など、平均的なユーザーよりも多くのデータにアクセスできる企業内の人物を標的とします。Microsoftによると、このグループはこれらの攻撃において新入社員を装い、採用プロセスに紛れ込むことが確認されています。
ソーシャル エンジニアリングのスキルを駆使して、このグループは従業員に電話をかけ、リモート監視および管理ツールをインストールさせようとしたり、中間者ツールキットを含むフィッシング サイトを閲覧させて 2 要素認証を回避し、FIDO2 トークンを削除しようとしたりする可能性があります。
また、このグループは、スミッシング(AitM ツールキットを含む偽のログイン ページに誘導するフィッシング リンクを含む SMS を従業員に送信)を使用する可能性や、従業員の電話番号に対して SIM スワップ攻撃を開始して、電話番号を掌握したらパスワードをリセットできるようにする可能性もあります。
さらに、Octo Tempest は、サイバー犯罪者のアンダーグラウンド マーケットプレイスで、企業の有効な認証情報とセッション クッキーを直接購入します。
稀なケースではあるが、このグループは従業員の自宅住所や家族の名前などの個人情報を利用し、電話やSMSで非常に攻撃的な身体的脅迫を行っており、その目的は被害者の企業アクセス認証情報を入手することにある。
偵察と発見
システムにアクセスされると、Octo Tempest は様々な列挙および情報収集アクションを実行します。これらのデータにより、脅威アクターは組織をより深く理解し、ユーザーとグループのリストをエクスポートし、デバイス情報を収集し、さらなる侵害や、正当なチャネルを悪用して他の悪意のあるアクションを実行することが可能になります。
さらに、Octo Tempest は、ネットワーク アーキテクチャ、リモート アクセス方法、パスワード ポリシー、資格情報ボールト、従業員のオンボーディングに関連するドキュメントを収集しようとします。
グループは標的組織の内部環境全体を調査し、アクセスを検証し、データベースとストレージコンテナを列挙します。PingCastleとADReconを使用してActive Directoryの偵察を行い、Govmomiを使用してvCenter APIを列挙し、Pure Storage FlashArray PowerShellモジュールを使用してストレージアレイを列挙し、Advanced IP Scannerを使用して内部ネットワークを調査する様子が確認されています。
より多くの資格と権限
Octo Tempest は、企業環境内で権限を昇格するために、ヘルプデスクに電話をかけ、電話に出た相手にソーシャルエンジニアリングを仕掛けて、パスワードをリセットしたり、MFA トークンを変更したり、攻撃者が所有する別のトークンを追加したりする必要がある管理者と話していると信じ込ませる可能性があります。
いくつかのケースでは、グループは侵害されたマネージャーのアカウントを使用してリクエストを承認することで、パスワードリセット手順を回避しました。
脅威アクターは常に認証情報の収集を試みており、TruffleHogなどのオープンソースツールを使用して、コードリポジトリ内のプレーンテキストのキーやシークレット、または認証情報を容易に特定しようとします。Octo Tempestは、MimikatzやLaZagneなどの認証情報ダンパーを使用します。
防御回避
Octo Tempestは、ITスタッフのアカウントにアクセスし、セキュリティ製品や機能を無効化することで検出を回避します。脅威アクターは、エンドポイント検出・対応(EDR)およびデバイス管理技術を悪用し、悪意のあるツールの使用、追加ソフトウェアの展開、データの窃取を可能にします。
多くの脅威アクターは侵害を受けたシステムのセキュリティ対策を無効にしますが、Octo Tempest はそれをさらに一歩進めて、セキュリティ スタッフのメールボックス ルールを変更し、スタッフに警告する可能性のあるセキュリティ ベンダーからの電子メールを自動的に削除します。
オクト・テンペストとは誰ですか?
Octo Tempestは、金銭目的の脅威アクターであり、メンバーは英語ネイティブスピーカーです。このグループは、0ktapus、Scattered Spider、Scatter Swine、UNC3944といった名前でも知られています。
この脅威アクターは2022年に初めて発見され、モバイル通信会社やビジネスプロセスアウトソーシング組織を標的にしてSIMスワップを開始し、それを他の犯罪者に販売したり、富裕層から暗号通貨を盗んだりして収益を得ていました。
それ以来、Octo Tempestは絶えず進化を続け(図A)、ケーブル通信会社、メールサービス、テクノロジー企業を標的とした活動を積極的に拡大しました。脅威アクターは、これらの企業への侵入時に窃取したデータを利用した恐喝活動を開始しました。
図A
このグループはOktaのID認証情報を標的とした大規模なフィッシングキャンペーンも展開し、その後のサプライチェーン攻撃に利用しました。例えば、TwilioやMailchimpへの攻撃成功は、このグループによるものとされています。
その後、Octo TempestはALPHV/BlackCatランサムウェアのアソシエイトとなりました。東欧のランサムウェアグループは英語圏のアソシエイトを通常は拒否することを考えると、これは意外な動きでした。同グループは、ホスピタリティ、消費財、小売、製造、ゲーム、天然資源、法律、テクノロジー、金融サービスなど、より幅広い企業を標的としました。
マイクロソフトは、このグループが非常に高度なスキルを持っていると指摘しています。「最近のキャンペーンでは、Octo Tempestが多様なTTP(戦術、技術、プロセス、手順)を駆使して複雑なハイブリッド環境を巧みに操作し、機密データを盗み出し、データを暗号化していることを確認しました。Octo Tempestは、SMSフィッシング、SIMスワッピング、高度なソーシャルエンジニアリングといった、多くの組織が通常の脅威モデルでは備えていない手法を駆使しています。」
Octo Tempestの脅威から身を守る方法
KnowBe4のデータ駆動型防御伝道師、ロジャー・グライムズ氏は、TechRepublicが電子メールで受け取った声明の中で次のようにコメントした。
これらは、あらゆる攻撃や動機を網羅した、高度に洗練された攻撃の例です。すべての組織は、ポリシー、技術的防御、そして教育を最適に組み合わせた、最善の多層防御サイバー防御計画を策定し、これらの攻撃のリスクを最大限に軽減する必要があります。これらの攻撃の手法と巧妙さは、従業員と共有する必要があります。従業員には多くの事例が必要です。従業員は、様々なサイバー攻撃の手法を認識し、それらを認識、軽減、そして適切に報告する方法を習得する必要があります。50%から90%はソーシャルエンジニアリング、20%から40%はパッチ未適用のソフトウェアやファームウェアが関与していることが分かっています。したがって、組織はこれらの2つの攻撃手法に最善を尽くすためにできることから始めるのが賢明でしょう。
Microsoft は、次のような広範な推奨事項のリストを提供しました。
- アイデンティティ管理は注意深く監視する必要があり、あらゆる変更を綿密に分析する必要があります。特に、管理上の変更はチェックされなければなりません。
- EDRの変更、特に新しい除外設定は慎重に検討する必要があります。最近インストールされたリモート管理ツールも精査する必要があります。
- 管理者とすべての特権ユーザーに対して、FIDO2 セキュリティ キーなどのフィッシング耐性のある多要素認証を導入する必要があります。
- すべての従業員は、さまざまなセキュリティ啓発キャンペーンを通じて、サイバーセキュリティ、特にフィッシングの手法とソーシャル エンジニアリングについて定期的に教育を受ける必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
