微软发布了一个以英语为母语的威胁行为者的详细资料，该威胁行为者具有先进的社会工程能力，被追踪为 Octo Tempest，该威胁行为者的目标是进行数据勒索和勒索软件攻击的公司。

自 2022 年初以来，Octo Tempest 的攻击稳步发展，将攻击目标扩大到提供有线电信、电子邮件和技术服务的组织，并与 ALPHV/BlackCat 勒索软件组织合作。

从帐户盗窃到勒索软件

最初观察到威胁行为者出售 SIM 卡交换并窃取拥有加密货币资产的知名人士的账户。

黑客通常通过高级社会工程获得初始访问权限，该社会工程以具有足够权限的技术管理员（例如支持和服务台人员）的帐户为目标，以进一步实施攻击。

他们对公司进行研究，以确定可以模仿的目标，达到模仿电话中个人的语音模式的程度。

通过这样做，他们诱骗技术管理员执行密码重置并重置多重身份验证 (MFA) 方法。

初始访问的其他方法包括：

诱骗目标安装远程监控和管理软件
通过网络钓鱼网站窃取登录信息
从其他网络犯罪分子那里购买凭证或会话令牌
短信网络钓鱼员工带有可捕获凭据的虚假登录门户的链接
SIM 卡交换或呼叫转移
直接暴力威胁

一旦获得足够的访问权限，Octo Tempest 黑客就会通过枚举主机和服务并收集允许滥用合法通道进行入侵的信息来开始攻击的侦察阶段。

“用户、组和设备信息的初始批量导出之后，紧随其后的是在虚拟桌面基础架构或企业托管资源中枚举可供用户配置文件随时使用的数据和资源”- Microsoft

文章原文链接:https://www.anquanke.com/post/id/291047