Tóm tắt

Octo Tempest là một nhóm cybercriminal có động cơ tài chính được cho là nhắm vào các tổ chức với các mục tiêu khác nhau. Điều này bao gồm nhắm vào cơ sở hạ tầng hybrid identity (AD & ADFS, EntraID & EntraID connector) và exfiltrating dữ liệu để hỗ trợ các hoạt động extortion hoặc ransomware. Octo Tempest có được initial access thông qua các cuộc tấn công social engineering, mạo danh người dùng và liên hệ với service desk support thông qua cuộc gọi điện thoại, email và tin nhắn được gửi qua các ứng dụng truyền thông. Trước đây nhóm này cũng sử dụng Short Message Service (SMS)-based phishing bằng cách sử dụng các domains adversary-in-the-middle (AiTM) bắt chước các tổ chức hợp pháp. Octo Tempest có liên kết với các nhóm tội phạm khác được theo dõi bởi các nhà cung cấp bảo mật, chẳng hạn như SCATTERED SPIDER và 0ktapus.

Bắt đầu từ tháng 4 năm 2025, nhóm threat actor có động cơ tài chính Octo Tempest đã tiếp tục hoạt động sau một thời gian ngắn tạm dừng vào cuối năm 2024 do các hoạt động thực thi pháp luật. Octo Tempest hiện đã bắt đầu triển khai Dragonforce ransomware trong các cuộc tấn công hybrid ransomware, chủ yếu ảnh hưởng đến các công ty bán lẻ ở châu Âu và Bắc Mỹ. Chu kỳ hoạt động của Octo Tempest thường tập trung vào một ngành cụ thể trong thời gian vài tuần hoặc vài tháng với hoạt động cường độ cao trước khi chuyển sang các mục tiêu mới.

Nhiều kỹ thuật của nhóm này vẫn giữ nguyên, bao gồm social engineering nhân viên help desk, trinh sát, lạm dụng đặc quyền của identities để tạo điều kiện di chuyển lateral hybrid, malware hoặc công cụ phổ biến để duy trì tồn tại, và sử dụng AADInternals federated backdoor.

Các công nghệ liên quan phát hiện nhiều giai đoạn của chuỗi tấn công của Octo Tempest và các công nghệ bảo mật nhận dạng phát hiện hoạt động đăng nhập bất thường. Bảo mật Active Directory Federation Services và củng cố cơ sở hạ tầng nhận dạng Azure có thể làm chậm đáng kể và hạn chế tác động của các kẻ tấn công như Octo Tempest. Ngoài ra, bảo mật cơ sở hạ tầng hybrid identity trên cả on-premises và cloud có thể gây gián đoạn và hạn chế tác động của các kẻ tấn công như Octo Tempest.

Tổng quan Hoạt động

Các nhà nghiên cứu đã xác định nhiều cuộc xâm nhập được cho là Octo Tempest, đánh dấu sự trở lại hoạt động sau khi nhóm này tạm dừng hoạt động từ cuối năm 2024. Các cuộc tấn công gần đây đã tác động đến nhiều tổ chức bán lẻ và giống như các cuộc tấn công ransomware trước đây của nhóm, tập trung nhiều vào môi trường hybrid.

Social engineering để tạo điều kiện cho initial access

Giống như trước đây, Octo Tempest sử dụng social engineering để có được quyền truy cập vào các identities hợp lệ, liên hệ với service desk support thông qua cuộc gọi điện thoại, email và tin nhắn được gửi qua Microsoft Teams. Trong nhiều trường hợp, hoạt động social engineering của Octo Tempest chỉ để trinh sát (reconnaissance phase) như: Trong một trường hợp Kẻ tấn công (attacker) nhắm vào tài khoản Domain Administrator , sử dụng các thuộc tính thu thập được như: ID nhân viên, người quản lý và địa điểm làm việc của người dùng. Octo Tempest sau đó mạo danh mục tiêu để thuyết phục service desk thêm số điện thoại mới thuộc sở hữu của kẻ tấn công vào tài khoản mục tiêu để phục vụ cho multifactor authentication (MFA) hoặc reset hoàn toàn các phương thức MFA cho identity mục tiêu; tiếp theo, threat actor sẽ reset thông tin đăng nhập của mục tiêu.

Privilege escalation

Ngoài việc đăng ký thiết bị riêng để thỏa mãn các yêu cầu MFA và duy trì quyền truy cập vào tài khoản bị xâm nhập, Octo Tempest duy trì sự hiện diện của họ bằng cách tìm thêm các tài khoản bổ sung trong môi trường cloud cố gắng nâng cao đặc quyền bằng cách xâm nhập các tài khoản người dùng có vai trò cao hơn. Để làm điều này, attacker thực hiện tải xuống hàng loạt thông tin người dùng và nhóm từ Azure Portal. Khi Octo Tempest xác định được các administrator từ danh sách này để nhắm vào, họ sau đó mạo danh mục tiêu để thuyết phục service desk thêm số điện thoại mới thuộc sở hữu của kẻ tấn công vào tài khoản mục tiêu cho multifactor authentication (MFA) hoặc reset các phương thức MFA cho identity mục tiêu; tiếp theo, threat actor khởi tạo self-service password reset (SSPR) để reset thông tin đăng nhập của mục tiêu.

Xâm nhập tài khoản bổ sung

Có nhiều kỹ thuật được threat actor sử dụng để xâm nhập các tài khoản bổ sung, bao gồm:

• Sử dụng Azure command-line interface để truy cập Azure Key Vaults và thu thập các secrets được lưu trữ trong cloud service đó, bao gồm API keys, passwords, certificates, cryptographic keys và storage account keys.
• Khởi tạo bulk password resets thông qua các PowerShell module, cho phép tiếp quản các tài khoản bổ sung mà không cần password gốc.
• Bulk deleting MFA/security information bằng Python scripts tất cả các hoạt động thành công đều chứa kết quả "Admin required re-registration of MFA authentication methods" trong Entra ID audit logs.
• Thực hiện device code flow phishing để truy cập tài khoản, tiếp theo nhanh chóng bằng AADInternals domain federation. (Lưu ý rằng AADInternals phishing function tự động hóa các tin nhắn device code phishing cho kẻ tấn công). Được khuyến nghị vô hiệu hóa device code flow khi không cần thiết bằng cách sử dụng Conditional Access policies.
• Sử dụng AADInternals federated backdoor được cài đặt với Global Administrator privileges để nhắm vào Active Directory Federation Service (AD FS) servers và tạo SAML tokens để đăng nhập vào các tài khoản bổ sung.

Staging và lateral movement

Octo Tempest triển khai virtual machines (VMs) để duy trì quyền truy cập vào môi trường bị xâm nhập, stage tools và tạo điều kiện cho data exfiltration. Kẻ tấn công đã tận dụng Azure, vCenter và Amazon Web Service (AWS) VMs. Vào tháng 6 năm 2025, các công cụ hợp pháp được stage trên VMs bao gồm Chisel tunneling utility và công cụ Ngrok reverse proxy.