Octo Tempest (Scattered Spider): Chiến Thuật Tấn Công Lai và Phòng Thủ Toàn Diện

Octo Tempest (Scattered Spider): Chiến Thuật và Mục Tiêu

Microsoft đã phân tích và cung cấp thông tin chi tiết về các hoạt động tinh vi của Octo Tempest, một nhóm tội phạm mạng có động cơ tài chính, còn được biết đến với các tên gọi khác như Scattered Spider, Muddled Libra, UNC3944, hoặc 0ktapus. Nhóm này đã thể hiện một kho vũ khí chiến thuật, kỹ thuật và quy trình (TTPs) đa dạng trong các cuộc tấn công từ đầu đến cuối, nhắm vào các tổ chức trên nhiều lĩnh vực khác nhau.

Truy Cập Ban Đầu: Social Engineering và AiTM Phishing

Phương pháp của Octo Tempest thường bắt đầu bằng việc truy cập ban đầu thông qua các chiến dịch social engineering (kỹ thuật xã hội) nâng cao. Kẻ tấn công giả mạo người dùng hợp pháp để tương tác với bộ phận hỗ trợ dịch vụ qua điện thoại, email hoặc tin nhắn, thường khởi tạo yêu cầu đặt lại mật khẩu cho các thông tin đăng nhập được nhắm mục tiêu.

Chiến thuật này thường được bổ trợ bởi các cuộc tấn công phishing (lừa đảo) dựa trên tin nhắn SMS, tận dụng các miền adversary-in-the-middle (AiTM) mô phỏng các tổ chức đáng tin cậy, cho phép thu thập thông tin đăng nhập một cách hiệu quả.

TTPs và Công Cụ Khai Thác

Một khi đã xâm nhập thành công vào môi trường mục tiêu, nhóm Octo Tempest sử dụng các công cụ chuyên dụng để duy trì quyền truy cập và di chuyển ngang. Các công cụ này bao gồm:

• ngrok và Chisel: Được sử dụng để tạo đường hầm (tunneling) và thiết lập cơ chế duy trì quyền truy cập (persistence), giúp kẻ tấn công duy trì kết nối bền vững với hệ thống bị xâm nhập.
• AADInternals: Một công cụ được sử dụng để thao túng môi trường Azure Active Directory, cho phép kẻ tấn công điều khiển và leo thang đặc quyền trong môi trường nhận dạng đám mây.

Các cuộc tấn công của nhóm này thường ảnh hưởng đến hạ tầng định danh lai (hybrid identity infrastructures), nơi danh tính được quản lý cả trên môi trường on-premises và đám mây. Việc xâm nhập vào các hệ thống này tạo điều kiện cho việc trích xuất dữ liệu, phục vụ cho các mục đích tống tiền hoặc triển khai ransomware.

Chuyển Hướng Tấn Công: DragonForce Ransomware và VMware ESX

Các vụ xâm nhập gần đây đã cho thấy sự thay đổi trọng tâm trong chiến thuật của Octo Tempest. Nhóm này hiện triển khai ransomware DragonForce một cách chuyên biệt, nhắm mục tiêu vào các môi trường hypervisor VMware ESX. Điều này cho thấy khả năng thích nghi và chuyên môn hóa của nhóm trong việc khai thác các nền tảng ảo hóa quan trọng.

Sự Tiến Hóa trong Chuỗi Tấn Công Lai

Đáng chú ý, không giống như các mô hình tấn công trước đây thường dựa vào đặc quyền nhận dạng đám mây để xoay trục sang môi trường on-premises, các hoạt động hiện tại của Octo Tempest liên quan đến việc xâm phạm các tài khoản và hạ tầng on-premises từ giai đoạn đầu. Sau đó, chúng mới leo thang lên các tài nguyên đám mây.

Sự thay đổi này làm nổi bật một chuỗi tấn công lai thích ứng, kết hợp một cách liền mạch các giai đoạn trinh sát, truy cập thông tin đăng nhập, và di chuyển ngang giữa các môi trường on-premises và đám mây. Điều này đòi hỏi các tổ chức phải có chiến lược bảo mật toàn diện, không chỉ tập trung vào một môi trường cụ thể.

Khả Năng Phát Hiện và Phòng Ngừa của Microsoft Defender

Microsoft Defender cung cấp khả năng phát hiện rộng khắp trong toàn bộ danh mục bảo mật của mình, bao gồm các điểm cuối (endpoints), danh tính (identities), ứng dụng SaaS, công cụ email, khối lượng công việc đám mây và nhiều hơn nữa, nhằm chống lại các TTPs của Octo Tempest.

Phát Hiện theo Giai Đoạn Tấn Công

Các sản phẩm của Microsoft Defender được thiết kế để phát hiện các hoạt động của Octo Tempest xuyên suốt các giai đoạn của chuỗi tấn công:

• Truy Cập Ban Đầu (Initial Access):
  • Phát hiện các hành vi đặt lại mật khẩu người dùng bất thường trong máy ảo thông qua Microsoft Defender for Cloud (MDC).
• Khám Phá (Discovery):
  • Giám sát các chỉ số như việc trích xuất thông tin đăng nhập đáng ngờ từ file NTDS.dit trong Microsoft Defender for Endpoint (MDE).
  • Phát hiện các hoạt động trinh sát liệt kê tài khoản.
  • Phát hiện lập bản đồ mạng (network-mapping) qua DNS.
  • Phát hiện các hoạt động trinh sát Active Directory đa dạng sử dụng giao thức LDAP và SAMR trong Microsoft Defender for Identity (MDI).
• Truy Cập Thông Tin Đăng Nhập và Di Chuyển Ngang (Credential Access & Lateral Movement):
  • Đánh dấu các hoạt động đánh cắp thông tin đăng nhập bằng Mimikatz.
  • Phát hiện việc sử dụng ADExplorer.
  • Phát hiện các gán vai trò Azure đáng ngờ.
  • Phát hiện các cuộc tấn công DCSync sao chép dịch vụ thư mục.
• Duy Trì Quyền Truy Cập và Thực Thi (Persistence & Execution):
  • Làm gián đoạn bằng cách xác định các backdoor ADFS (Active Directory Federation Services) duy trì quyền truy cập.
  • Phát hiện các hoạt động phá hoại hệ thống (tampering) điển hình của ransomware trong giai đoạn né tránh phòng thủ (defense evasion).
• Thực Hiện Mục Tiêu (Actions on Objectives):
  • Các hành động như chuẩn bị dữ liệu (data staging) và trích xuất qua SMB, hoặc triển khai ransomware DragonForce, sẽ kích hoạt các biện pháp ngăn chặn và cảnh báo “hands-on-keyboard” trong MDE.

Chống Tấn Công Tự Động (Automatic Attack Disruption)

Để làm gián đoạn các cuộc tấn công đang diễn ra, Microsoft Defender sử dụng cơ chế chống tấn công tự động (automatic attack disruption). Đây là một cơ chế tự phòng vệ được hỗ trợ bởi AI, tương quan các tín hiệu đa miền, thông tin tình báo về mối đe dọa và các mô hình học máy để dự đoán và ngăn chặn các mối đe dọa.

Cơ chế này bao gồm việc tự động vô hiệu hóa các tài khoản người dùng bị xâm phạm và thu hồi các phiên hoạt động dựa trên các chỉ số liên quan đến đăng nhập của Octo Tempest, qua đó cắt đứt quyền truy cập của kẻ tấn công một cách hiệu quả. Tuy nhiên, Microsoft nhấn mạnh rằng các trung tâm vận hành bảo mật (SOC) phải tiếp tục với việc ứng phó sự cố và phân tích sau sự cố để khắc phục hoàn toàn và đảm bảo an toàn lâu dài.

Phòng Thủ Chủ Động và Điều Tra Chuyên Sâu

Các tổ chức có thể tận dụng các tính năng mạnh mẽ của Microsoft Defender để tăng cường khả năng phòng thủ và điều tra.

Điều Tra với Microsoft Defender XDR và Microsoft Sentinel

Các tổ chức có thể sử dụng tính năng truy lùng nâng cao (advanced hunting) của Microsoft Defender để điều tra các hoạt động của Octo Tempest. Khả năng này cho phép truy vấn dữ liệu từ cả các nguồn dữ liệu bên thứ nhất và bên thứ ba trong Microsoft Defender XDR và Microsoft Sentinel. Điều này được bổ sung bởi các thông tin chi tiết về rủi ro từ Microsoft Security Exposure Management.

Khả năng này cho phép các nhóm bảo mật đánh giá chủ động các mục tiêu tiềm năng, chẳng hạn như các tài khoản liên kết với bộ phận trợ giúp (helpdesk), và mô phỏng các đường tấn công để tăng cường phòng thủ trước khi xảy ra sự cố.

Quản Lý Rủi Ro với Microsoft Security Exposure Management

Để phòng thủ chủ động hơn nữa, Microsoft Security Exposure Management cung cấp các công cụ như bảo vệ tài sản quan trọng. Trong đó, các tài sản được phân loại để tạo ra các đường tấn công và khuyến nghị phù hợp, giúp tổ chức hiểu rõ hơn về các điểm yếu tiềm ẩn.

Các Sáng Kiến Phòng Thủ Chuyên Biệt

Microsoft đã triển khai các sáng kiến chuyên biệt để chống lại Octo Tempest và các mối đe dọa ransomware nói chung:

• Octo Tempest Threat Initiative:
  • Tập trung vào các biện pháp giảm thiểu như quy tắc giảm bề mặt tấn công (attack surface reduction – ASR) để chặn trích xuất thông tin đăng nhập LSASS qua Mimikatz.
  • Triển khai các chính sách truy cập có điều kiện cho các lần đăng nhập rủi ro từ các địa chỉ IP do kẻ tấn công kiểm soát.
• Ransomware Initiative:
  • Củng cố các lớp định danh, điểm cuối và hạ tầng chống lại các chiến thuật tống tiền.
• Phân Tích Đường Tấn Công (Attack Path Analysis):
  • Theo dõi các mối đe dọa lai, xác định các điểm nghẽn như máy chủ Entra Connect bị khai thác để leo thang đặc quyền và xoay trục lên đám mây.
  • Cho phép các nhóm bảo mật ưu tiên khắc phục các thực thể dễ bị tổn thương và giảm thiểu tác động của các hoạt động social engineering và ransomware mạnh mẽ của Octo Tempest.