Cyberthreat.id – Hacker produktif yang dikenal sebagai Scattered Spider diamati menyamar sebagai karyawan baru di perusahaan-perusahaan yang ditargetkan. Itu dilakukan sebagai taktik berbaur dengan proses perekrutan normal dan pengambilalihan akun serta pelanggaran organisasi di seluruh dunia.

Microsoft, yang mengungkap aktivitas kru peretasan yang bermotif finansial, menggambarkan Scattered Spider sebagai "salah satu kelompok kriminal keuangan paling berbahaya", seraya menyebut kelancaran operasionalnya dan kemampuannya untuk memasukkan phishing SMS, pertukaran SIM, dan penipuan help desk ke dalam kelompoknya.

“Octo Tempest adalah kumpulan pelaku ancaman berbahasa Inggris yang bermotivasi finansial dan dikenal karena meluncurkan kampanye luas yang menonjolkan teknik adversary-in-the-middle (AiTM), rekayasa sosial, dan kemampuan pertukaran SIM,” kata perusahaan itu sebagaimana dikutip The Hacker News.

Perlu dicatat bahwa aktivitas yang diwakili oleh Octo Tempest dilacak oleh perusahaan keamanan siber lain dengan berbagai nama, termasuk 0ktapus, Scatter Swine, dan UNC3944, yang telah berulang kali memilih Okta untuk mendapatkan izin yang lebih tinggi dan menyusup ke jaringan yang ditargetkan.

Salah satu ciri utamanya adalah penargetan personel dukungan dan layanan bantuan melalui serangan rekayasa sosial untuk mendapatkan akses awal ke akun istimewa, menipu mereka agar melakukan pengaturan ulang kata sandi korban dan metode otentikasi multi-faktor (MFA).

Pendekatan lain memerlukan pembelian kredensial karyawan dan/atau token sesi di pasar kriminal bawah tanah, atau memanggil individu tersebut secara langsung dan merekayasa sosial pengguna untuk menginstal utilitas Pemantauan dan Manajemen Jarak Jauh (RMM), mengunjungi portal login palsu menggunakan perangkat phishing AiTM, atau hapus token FIDO2 mereka.

The Hacker News menggambarkan bahwa serangan awal yang dilakukan oleh kelompok ini menargetkan penyedia telekomunikasi seluler dan organisasi outsourcing proses bisnis (BPO) untuk memulai pertukaran SIM, sebelum beralih ke memonetisasi akses untuk menjual pertukaran SIM ke penjahat lain dan melakukan pengambilalihan akun individu dengan kekayaan bersih tinggi untuk pencurian mata uang kripto.

Octo Tempest telah melakukan diversifikasi penargetan untuk mencakup penyedia email dan layanan teknologi, game, perhotelan, ritel, penyedia layanan terkelola (MSP), manufaktur, teknologi, dan sektor keuangan, sekaligus muncul sebagai afiliasi geng ransomware BlackCat pada pertengahan tahun 2023 untuk memeras korban.

Dengan kata lain, tujuan akhir serangan bervariasi antara pencurian mata uang kripto dan eksfiltrasi data untuk pemerasan dan penyebaran ransomware.

“Pada akhir tahun 2022 hingga awal tahun 2023, [...] Octo Tempest mulai memonetisasi intrusi dengan memeras organisasi korban atas data yang dicuri selama operasi intrusi mereka dan dalam beberapa kasus bahkan menggunakan ancaman fisik,” kata Microsoft.

“Dalam kasus yang jarang terjadi, Octo Tempest menggunakan taktik yang menyebarkan rasa takut, menargetkan individu tertentu melalui panggilan telepon dan SMS. Aktor-aktor ini menggunakan informasi pribadi, seperti alamat rumah dan nama keluarga, serta ancaman fisik untuk memaksa korban agar berbagi kredensial untuk akses perusahaan."

Sebuah pijakan yang sukses diikuti oleh penyerang yang melakukan pengintaian terhadap lingkungan dan peningkatan hak istimewa, yang terakhir dilakukan melalui prosedur kebijakan kata sandi yang dicuri, pengunduhan massal ekspor pengguna, grup, dan peran.

Perdagangan penting lainnya adalah penggunaan akun personel keamanan yang disusupi dalam organisasi korban untuk mengganggu fungsi produk keamanan dalam upaya untuk tidak terdeteksi radar, selain merusak aturan kotak surat staf keamanan untuk secara otomatis menghapus email dari vendor.

“Berbagai macam alat dan taktik yang digunakan oleh Octo Tempest, termasuk mendaftarkan perangkat yang dikendalikan aktor ke dalam perangkat lunak manajemen perangkat untuk melewati kontrol dan memutar ulang token yang diambil dengan klaim MFA yang memuaskan untuk melewati MFA, merupakan indikasi keahlian teknisnya yang luas dan kemampuannya untuk menavigasi yang kompleks,” kata Redmond.

“Teknik unik yang digunakan Octo Tempest adalah mengkompromikan infrastruktur VMware ESXi, menginstal backdoor Linux open-source Bedevil, dan kemudian meluncurkan skrip VMware Python untuk menjalankan perintah sewenang-wenang terhadap mesin virtual yang dihosting,” perusahaan tersebut menjelaskan lebih lanjut.[]