駭客組織0ktapus部署勒索軟體BlackCat，從事檔案加密及破壞，向受害者進行勒索-HUIDU Official Website

駭客組織0ktapus部署勒索軟體BlackCat，從事檔案加密及破壞，向受害者進行勒索

· 2023-10-31

在2022年初因攻擊身分驗證業者Okta引起各界關注的駭客組織0ktapus，今年下半傳出與勒索軟體駭客BlackCat結盟，並擴大攻擊範圍

假冒客服、IT服務臺發動社交工程攻擊，成主要的入侵管道

通常駭客會先對於目標組織進行調查，以便冒充組織、模仿電話通訊、收集相關個資，針對客戶支援或是IT服務臺的員工進行社交工程攻擊，從而取得入侵組織的初始存取權限，要求客服人員重置密碼或是雙因素驗證設定。在部分攻擊行動當中，駭客也可能會假冒新進員工來發動攻擊。

研究人員看到這些駭客也會一般員工下手，發動對手中間人攻擊（AiTM），或是進行其他社交工程攻擊，從而在受害電腦部署遠端管理工具（RMM），或是清除受害者FIDO2的Token。再者，過往這些駭客擅長的SIM挾持攻擊，也是他們用於入侵的管道之一。

一旦成功入侵目標組織，駭客便會執行偵察工作，從而掌握高權限，先是從AD大量匯出使用者、群組、裝置資訊，再取得虛擬化環境的基礎架構，以及企業管理的資源組態，並對於雲端環境、程式碼儲存庫、伺服器、備份管理基礎架構進行調查，過程中駭客運用多項工具來進行，例如：利用PingCastle與ADRecon偵察AD、透過Advanced IP Scanner拓撲受害組織網路、採用Go程式庫Govmomi列出所有的vCenter的API、運用PowerShell模組PureStorage FlashArray找出儲存陣列等。

而對於這些駭客如何在受害組織提升權限，研究人員指出，他們會利用社交工程攻擊，藉由外流的密碼設置流程，以及大量收集的用戶、群組資料，透過各種方式建立信任來達成目的。在某些情況下，攻擊者還會利用流出的經理帳號，核准密碼重置請求，而能繞過組織正常的申請重置密碼程序。

除此之外，駭客也會利用開源工具Jercretz和TruffleHog，在組織的程式碼儲存庫挖掘明文帳密資料、金鑰等機密，以便進一步利用。再者，這些駭客也會利用MicroBurst企圖存取組織存放的帳密資料，或是透過Mimikatz、Hekatomb、Lazagne、gosecretsdump、smbpasswd.py、LinPEAS、ADFSDump等開源工具收集。

而在其他提升權限的手法上，他們還會利用名為VMAccess Extension的工具，對建置於Azure的虛擬機器（VM）重設密碼，或是竄改組態。或者，對於虛擬網域控制器磁區進行快照備份，來取得AD資料庫檔案NTDS.dit。

為了避免東窗事發，駭客入侵資安部門，並控制裝置管理系統及端點防護系統

值得留意的是，這些駭客在過程中為了避免遭到偵測，駭客還會對於資安部門的人員下手，目的是透過端點偵測與回應系統（EDR）、裝置管理系統，或是開源工具Privacy.sexy框架，停用資安產品及安全功能，從而放行惡意程式、部署遠端管理工具、竊取機密資料，他們甚至會竄改IT人員的電子郵件規則，自動刪除資安系統或是供應商發出的警告。

對於駭客如何持續在受害組織活動，研究人員指出，他們也運用了多種開源或遠端桌面連線工具如：ScreenConnect、FleetDeck、AnyDesk、RustDesk、Splashtop、Pulseway、TightVNC、LummaC2、Level.io、Mesh、TacticalRMM、Tailscale、Ngrok、WsTunnel、Rsocx、catcatel來進行。同時，無論是Windows還是Linux電腦，研究人員發現駭客都會部署反向Shell。

再者，這些駭客也會利用隧道工具Twingate，並利用Azure容器充當專屬的連接器，而不致將行蹤曝露於網際網路。此外，對於VMware虛擬化環境，駭客則是罕見地部署Linux後門程式Bedevil，並啟動Python指令碼對虛擬機器下達命令。

竊取資料的層面多元，涵蓋檔案共用系統、程式碼儲存庫、資料庫、應用程式系統

究竟這些駭客的攻擊目的為何？研究人員認為，主要還是獲取經濟利益，但不同的是，現在這些駭客不只竊取加密貨幣，還會進行勒索軟體攻擊。

值得一提的是，駭客在部署勒索軟體之前，他們會透過合法的用戶端程式，例如：DBeaver、MongoDB Compass、Azure SQL查詢編輯器、Cerebrata，來存取程式碼儲存庫，以及資料庫、檔案共用系統，竊取機密資料，之後透過GoFile.io、Sh.Azl、StorjShare、Temp.sh、MegaSync、Paste.ee、Backblaze等多種匿名檔案代管服務將資料流出。

此外，研究人員也看到駭客採用另一種較為特殊的手法，就是濫用資料整合服務Azure Data Factory，將特定資料自動化傳送至駭客架設的SFTP伺服器。而針對存放於SharePont的資料，攻擊者則會透過合法的Microsoft 365備份解決方案，像是Veeam、AFI Backup、CommVault進行匯出。

至於Salesforce、ZenDesk等其他駭客認為具備高價值的應用系統，他們會透過FiveTran等第三方服務，透過API連接器來複製資料庫的內容。

Popular articles

1spin4win grows its Latin American presence by partnering with Fortuna Juegos

Online Game

Across 6 Cities: HUIDU Invites You to 8 World Cup Parties Redefining High-Value Social Networking

HUIDU Focus

Indiana online casino bill stalls in House committee

Regulation

Gaming & Technology Expo Makes a Powerful Entrance in CDMX

Marketing

GGC Awards 2026 Shines in Colombo: Honoring Leaders and Innovators in the iGaming Industry

HUIDU Focus

Institutional Academy that exceeded expectations marked the opening of GAT CDMX

Online Game

GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean

Marketing

Vietnam's tightening online gaming policy creates new market opportunities

Southeast Asia

1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats

Online Game

Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push

Regulation

Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare

Regulation

Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says

Southeast Asia

HUIDU Invites You to Booth T70 at iGB L!VE 2026 — Let’s Ignite London This July!

HUIDU Focus

Full House at GAT Expo Cartagena 2026 Academic Agenda

Online Game

PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months

Marketing

Home

Game

Cooperation

Find