Tổng quan

Threat actor với tên gọi Octo Tempest (trước đây là Storm-0875) là một nhóm tội phạm mạng có động cơ tài chính, đã được quan sát tấn công các tổ chức bằng nhiều phương pháp khác nhau để kiếm tiền. Các cách tiếp cận của nhóm bao gồm nhắm mục tiêu vào cơ sở hạ tầng danh tính lai (hybrid identity infrastructures) và đánh cắp dữ liệu để hỗ trợ các hoạt động tống tiền hoặc ransomware. Octo Tempest có được quyền truy cập ban đầu thông qua các cuộc tấn công social engineering có tính thuyết phục cao, mạo danh người dùng và liên hệ với bộ phận hỗ trợ dịch vụ qua điện thoại, email, và tin nhắn được gửi qua các ứng dụng truyền thông.

Hybrid identity infrastructures: Hệ thống xác thực kết hợp giữa môi trường on-premises và cloud
Social engineering: Kỹ thuật thao túng tâm lý để lừa đảo thông tin
Ransomware: Phần mềm độc hại mã hóa dữ liệu để đòi tiền chuộc

Trước đây, nhóm này cũng sử dụng phishing qua SMS (Short Message Service) bằng cách sử dụng các domain adversary-in-the-middle (AiTM) mô phỏng các tổ chức hợp pháp. Octo Tempest có liên kết với các nhóm tội phạm khác như Scattered Spider và 0ktapus.

Adversary-in-the-middle (AiTM): Kỹ thuật tấn công chặn giữa để đánh cắp thông tin đăng nhập

Các giải pháp bảo mật phát hiện nhiều giai đoạn hoạt động của Octo Tempest cũng như hoạt động trước khi triển khai ransomware với một loạt các phát hiện hành vi. Việc thực hiện Principle of least privilege, Hardening AD FS servers, Azure identity management and access control security best practices. Có ****thể làm chậm đáng kể và giới hạn tác động của các kẻ tấn công như Octo Tempest.

Principle of least privilege: Nguyên tắc cấp quyền tối thiểu cần thiết cho công việc
AD FS: Dịch vụ xác thực liên kết của Microsoft Active Directory

Chi tiết về mục tiêu tấn công

Các hoạt động của Octo Tempest nhắm mục tiêu vào nhiều ngành công nghiệp khác nhau, với các mục tiêu khác nhau tùy thuộc vào đối tượng. Các cuộc tấn công SIM swapping trước đây của Octo Tempest đã tác động đến các tổ chức viễn thông và tạo điều kiện cho các cuộc tấn công bổ sung vào các lĩnh vực khác, trong khi tác nhân này cũng đã trực tiếp nhắm mục tiêu vào các tổ chức tài chính để trộm cắp tiền điện tử.

Giải thích:

SIM swapping: Kỹ thuật chuyển số điện thoại nạn nhân sang SIM do hacker kiểm soát

Octo Tempest đã tiến hành các cuộc tấn công ransomware và tống tiền chống lại các tổ chức công nghệ, bán lẻ, gaming, khách sạn và năng lượng cùng nhiều tổ chức khác.

Chu kỳ hoạt động của Octo Tempest thường tập trung vào một ngành cụ thể trong khoảng thời gian vài tuần hoặc vài tháng với hoạt động cường độ cao trước khi chuyển sang các mục tiêu mới. Chu kỳ này được thể hiện rõ ràng khi threat actor tiếp tục hoạt động vào năm 2025 sau một khoảng thời gian ngắn ngưng hoạt động vào cuối năm 2024: vào tháng 4 và tháng 5 năm 2025, Octo Tempest xuất hiện trở lại và nhắm mục tiêu vào các doanh nghiệp bán lẻ tại Vương quốc Anh trước khi chuyển sang các doanh nghiệp bán lẻ tại Hoa Kỳ. Vào tháng 6 năm 2025, tác nhân sau đó chuyển sang các tổ chức bảo hiểm Hoa Kỳ. Và vào cuối tháng 6 năm 2025, tác nhân lại chuyển sang nhắm mục tiêu vào các thực thể vận tải hàng không.

Công cụ & Chiến thuật, Kỹ thuật, và Quy trình (TTPs)

Octo Tempest là một tác nhân đe dọa có tổ chức tốt và hiệu quả cao, tiến hành các hoạt động rộng rãi để thu lợi tài chính. Việc nhắm mục tiêu mở rộng của nhóm, các phương pháp đa dạng để kiếm tiền từ các cuộc tấn công, và các công cụ cùng kỹ thuật khác nhau cho thấy nguồn lực kỹ thuật phong phú và nhiều người điều hành trực tiếp.

Giải thích thuật ngữ: