Nas últimas semanas, a Microsoft observou Octo Tempesttambém conhecido como aranha dispersa, impactando o setor de companhias aéreas, após atividades anteriores que afetam o varejo, serviços de alimentação, organizações de hospitalidade e seguros entre abril e julho de 2025. Isso se alinha aos padrões típicos de concentração de Octo Tempest em uma indústria por várias semanas ou meses antes de passar a novos alvos. Os produtos de segurança da Microsoft continuam atualizando a cobertura de proteção à medida que essas mudanças ocorrem.
Para ajudar a proteger e informar os clientes, este weblog destaca a cobertura de proteção em todo o Microsoft Defender e o Microsoft Sentinel Safety EcoSystem e fornece recomendações de endurecimento por postura de segurança para proteger contra atores de ameaças como Octo Tempest.
Visão geral de Octo Tempest
Octo Tempest, também conhecido na indústria como aranha dispersa, libra confusa, UNC3944 ou 0ktapus, é um Grupo cibercriminal motivado financeiramente Isso foi observado que afeta as organizações usando métodos variados em seus ataques de ponta a ponta. Sua abordagem inclui:
- Obtendo acesso inicial usando ataques de engenharia social e personificando um usuário e entrando em contato com o suporte ao serviço de serviço através de chamadas telefônicas, e -mails e mensagens.
- Phishing baseado em serviço de mensagens curtas (SMS) usando domínios adversários no meio (AITM) que imitam organizações legítimas.
- Usando ferramentas como NGrok, cinzel e Aadinternals.
- Impactando infraestruturas de identidade híbrida e dados exfiltrantes para suportar operações de extorsão ou ransomware.
Atividade recente mostra que a Octo Tempest implantou ransomware do Dragonforce com um foco específico nos ambientes VMware ESX Hypervisor. Em contraste com os padrões anteriores em que o Octo Tempest usou privilégios de identidade em nuvem para acesso native, atividades recentes envolveram impactar as contas locais e a infraestrutura no estágio inicial de uma intrusão antes de fazer a transição para o acesso à nuvem.
Cobertura de detecção de Octo Tempest
O Microsoft Defender tem uma ampla gama de detecções para detectar atividades relacionadas à Octo Tempest e muito mais. Essas detecções abrangem todas as áreas do portfólio de segurança, incluindo pontos de extremidade, identidades, software program como aplicativos de serviço (SaaS), ferramentas de e-mail e colaboração, cargas de trabalho em nuvem e muito mais para fornecer cobertura de proteção abrangente. A seguir, é mostrada uma lista de táticas, técnicas e procedimentos (TTPs) conhecidos de Octo Tempest observados em cadeias de ataques recentes mapeadas para a cobertura de detecção.
| Tática | Técnica | Cobertura de proteção da Microsoft (não exaustivo) |
| Acesso inicial | Iniciando a redefinição de senha nas credenciais do Goal | Redefinição de senha de usuário incomum em sua máquina digital; (MDC) |
| Descoberta | Reconhecimento ambiental contínuo | Despejo suspeito de credenciais do ntds.dit; (Mde) Reconhecimento de enumeração da conta; (MDI) Reconnaissance de mapeamento de rede (DNS); (MDI) ReconnSance de usuário e endereço IP (SMB); (MDI) Reconhecimento de associação ao usuário e grupo (SAMR); (MDI) Atributos do Energetic Listing Reconnaissance (LDAP); (MDI) |
| Acesso à credencial, movimento lateral | Identificando ativos de nível-0 | Ferramenta de roubo de credenciais Mimikatz; (Mde) Adexplorer coletando informações do Energetic Listing; (Mde) Reconhecimento principal de segurança (LDAP); (MDI) A atribuição suspeita de função do Azure detectada; (MDC) Operação de acesso elevada suspeita; (MDC) Domínio suspeito adicionado ao Microsoft ENTRA ID; (MDA) Modificação suspeita de confiança de domínio após assinatura de risco; (MDA) |
| Coletando credenciais adicionais | Suspeito de ataque do DCSYNC (replicação de serviços de diretório); (MDI) Suspeita de lida de chave de AD FS DKM; (MDI) | |
| Acessando ambientes corporativos com VPN e implantando VMs com ferramentas para manter o acesso em ambientes comprometidos | O hacktool ‘Ngrok’ foi impedido; (Mde) O hacktool de ‘cinzel’ foi impedido; (Mde) Uso possivelmente malicioso de ferramenta de proxy ou tunelamento; (Mde) Possível dispositivo relacionado a tempestade de outubro registrado (MDA) | |
| Evasão de defesa, persistência | Aproveitando EDR e ferramentas de gerenciamento | Atividade de adulteração típica de ataques de ransomware; (Mde) |
| Persistência, execução | Instalando um backdoor confiável | ADFs Backdoor persistente; (Mde) |
| Ações em objetivos | Estadiamento e exfiltrando dados roubados | Possível exfiltração de dados arquivados; (Mde) Exfiltração de dados sobre SMB; (MDI) |
| Implantando ransomware | Ransomware ‘Dragonforce’ foi impedido; (Mde) Possível atividade pré-ranométrica prática em teclado; (Mde) |
Interrompendo ataques de tempestade de outubro
Interromper ataques em andamento com interrupção automática de ataques:
A interrupção do ataque é a do Microsoft Defender’s capacidade única e de autodefesa embutida que consome sinais de vários domínios, a mais recente inteligência de ameaças e modelos de aprendizado de máquina a IA para prever e interromper automaticamente O próximo passo de um invasor contém o ativo comprometido (usuário, dispositivo). Essa tecnologia usa vários indicadores e comportamentos em potencial, incluindo todas as detecções listadas acima, possíveis tentativas de assinatura de identificação da Microsoft ENTRA, Possíveis atividades de login relacionadas a tempestades de outubro e correlacioná-los através das cargas de trabalho do Microsoft Defender em um incidente de alta fidelidade.
Com base em aprendizados anteriores de técnicas populares de tempestade de outubro, a interrupção do ataque será automaticamente Desative o usuário Conta usada pela OCTO Tempest e revoga todas as sessões ativas existentes pelo usuário comprometido.
Embora a interrupção do ataque possa conter o ataque, cortando o invasor, é basic para as equipes do Centro de Operações de Segurança (SOC) para conduzir atividades de resposta a incidentes e análises pós-incidentes para ajudar a garantir que a ameaça seja totalmente contida e remediada.
Investigue e procure a atividade relacionada a Octo Tempest:
O Octo Tempest é conhecido por táticas agressivas de engenharia social, geralmente impactando indivíduos com permissões específicas para obter acesso legítimo e se mover lateralmente através de redes. Para ajudar as organizações a identificar essas atividades, os clientes podem usar a capacidade avançada de caça do Microsoft Defender para investigar e responder proativamente às ameaças em todo o ambiente. Os analistas podem consultar as fontes de dados de primeira e terceira partidos alimentadas pelo Microsoft Defender XDR e Microsoft Sentinel. Além dessas tabelas, os analistas também podem usar insights de exposição de Gerenciamento de exposição à segurança da Microsoft.
Usando a caça avançada e o gráfico de exposição, os defensores podem avaliar e procurar proativamente a atividade relacionada ao ator de ameaças e identificar quais usuários têm maior probabilidade de serem direcionados e qual será o efeito de um compromisso, fortalecendo as defesas antes que ocorra um ataque.
Defesa proativa contra Octo Tempest
Gerenciamento de exposição à segurança da MicrosoftDisponível no Portal do Microsoft Defender, equipa as equipes de segurança com recursos como proteção crítica de ativos, iniciativas de atores de ameaças e análise de caminho de ataque que permitem que as equipes de segurança reduzam proativamente a exposição e mitigem o impacto das táticas de ataque híbrido da Octo Tempest.
Garanta que os ativos críticos permaneçam protegidos
Os clientes devem garantir que os ativos críticos sejam classificado como crítico No portal da Microsoft Defender, para gerar caminhos e recomendações de ataque relevantes em iniciativas. O Microsoft Defender identifica automaticamente dispositivos críticos em seu ambiente, mas as equipes também devem criar regras personalizadas e expandir identificadores críticos de ativos para melhorar a proteção.
Tome medidas para minimizar o impacto com as iniciativas
Recurso de iniciativas do gerenciamento de exposição Fornece programas orientados a objetivos que unificam as principais idéias para ajudar as equipes a endurecer as defesas e agir rapidamente em ameaças reais. Para abordar os riscos mais prementes relacionados ao Octo Tempest, recomendamos que as organizações comecem com as iniciativas abaixo:
- Iniciativa de ameaça de Octo Tempest: Octo Tempest é conhecido por táticas como extrair credenciais do Serviço de Subsistema de Autoridade de Segurança Native (LSASS) usando ferramentas como Mimikatz e assinar a partir de IPs controlados por atacantes-ambos das quais podem ser atenuadas através de controles como regras de redução de superfície de ataque (ASR) e políticas de assinatura. Essa iniciativa reúne essas atenuações em um programa focado, mapeando comportamentos de invasores do mundo actual para controles acionáveis que ajudam a reduzir a exposição e interromper os caminhos de ataque antes de aumentarem.
- Iniciativa Ransomware: Uma iniciativa mais ampla focada na redução da exposição a ataques orientados por extorsão por meio de endurecimento, endpoint e camadas de infraestrutura. Isso fornecerá recomendações adaptadas para sua organização.
Investigue os caminhos de ataque native e híbrido
As equipes de segurança podem usar Análise do caminho do ataque Para rastrear ameaças de domínio-como aquelas usadas pela Octo Tempest-que exploraram o servidor Crítico ENTRA Join para girar em cargas de trabalho em nuvem, escalar privilégios e expandir seu alcance. As equipes podem usar a visualização do ‘estrangulamento’ no painel de caminho de ataque para destacar as entidades que aparecem em vários caminhos, facilitando o filtro para contas ligadas ao helpdesk, um alvo Octo conhecido e priorizar sua remediação.
Dada a estratégia de ataque híbrido de Octo Tempest, um caminho de ataque representativo pode ser assim:
Recomendações
No cenário de ameaças de hoje, a segurança proativa é essencial. Seguindo as melhores práticas de segurança, você reduz a superfície de ataque e limita o impacto potencial de adversários como Octo Tempest. A Microsoft recomenda a implementação do seguinte para ajudar a fortalecer sua postura geral e ficar à frente das ameaças:
Recomendações de segurança de identidade
Recomendações de segurança do endpoint
- Ativar antivírus do zagueiro da Microsoft Proteção entregue em nuvem para Linux.
- Ligue o Microsoft Defender Antivirus Proteção em tempo actual para Linux.
- Ative o Microsoft Defender para endpoint EDR no modo de bloco Para bloquear o comportamento malicioso da pós -violação no dispositivo por meio de recursos de bloqueio e contenção de comportamento.
- Ligar Proteção de adulteração Isso essencialmente impede que o Microsoft Defender para endpoint (suas configurações de segurança) seja modificado.
- Bloquear credenciais roubando o subsistema do Home windows Native Safety Authority: Ataque Redução da superfície (ASR) As regras são o método mais eficaz para bloquear as técnicas de ataque mais comuns usadas em ataques cibernéticos e software program malicioso.
- Ligar Guarda de credencial da Microsoft Defender isolar segredos para que apenas o software program privilegiado do sistema possa acessá -los.
Recomendações de segurança em nuvem
- Os principais cofres devem ter Proteção de purga ativada Para evitar a exclusão imediata e irreversível de cofres e segredos.
- Para reduzir os riscos de regras de entrada excessivamente permissivas nas portas de gerenciamento de máquinas virtuais, Ativar just-in-time (JIT) Controle de acesso à rede.
- O Microsoft Defender for Cloud recomenda a criptografia de dados com as chaves gerenciadas pelo cliente (CMK) para oferecer suporte a requisitos rígidos de conformidade ou regulamentação. Para reduzir o risco e aumentar o controle, Ativar CMK Para gerenciar suas próprias chaves de criptografia através do Microsoft Azure Key Vault.
- Ativar logs no Azure Key Vault e mantenha -os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou sua rede é comprometida.
- Backup do Microsoft Azure Deve estar ativado para que as máquinas virtuais protejam os dados em suas máquinas virtuais do Microsoft Azure e criem pontos de recuperação armazenados em cofres de recuperação geográficos.
Discover soluções de segurança
Para saber mais sobre a Microsoft Safety Options,Visite nosso web site. Marque oMicrosoft Safety Weblog Para acompanhar nossa cobertura especializada em questões de segurança.
Além disso, siga -nos em Microsoft Safety LinkedIn e @MsftSecurityEm X, para as últimas notícias e atualizações sobre segurança cibernética.