保护客户免受跨行业Octo Tempest攻击 | 微软安全博客

近期，微软观察到Octo Tempest（亦称Scattered Spider）在航空领域发动攻击，这是继2025年4月至7月期间该组织针对零售、食品服务、酒店和保险行业后的最新活动。这种模式符合Octo Tempest通常专注于某一行业数周或数月后转移目标的特征。微软安全产品持续更新防护覆盖以应对这些变化。

为帮助客户防护和了解威胁，本文重点介绍微软Defender和Sentinel安全生态系统的防护覆盖，并提供安全态势强化建议以防御Octo Tempest等威胁行为体。

通过微软Defender集成安全解决方案领先威胁行为体

Octo Tempest概述

Octo Tempest（行业中也称为Scattered Spider、Muddled Libra、UNC3944或0ktapus）是一个以经济利益为动机的网络犯罪团伙，其端到端攻击采用多种方法：

• 通过社交工程攻击冒充用户，通过电话、邮件和消息联系服务台支持获取初始访问
• 使用模仿合法组织的中间人（AiTM）域名进行短信钓鱼（SMS）
• 使用ngrok、Chisel和AADInternals等工具
• 攻击混合身份基础设施并外泄数据以支持勒索或勒索软件操作

近期活动显示Octo Tempest部署了DragonForce勒索软件，特别针对VMWare ESX虚拟机管理程序环境。与之前使用云身份权限进行本地访问的模式不同，最近活动在入侵初始阶段同时攻击本地账户和基础设施，再转向云访问。

Octo Tempest检测覆盖

微软Defender提供广泛检测能力覆盖端点、身份、SaaS应用、邮件与协作工具、云工作负载等安全领域：

中断Octo Tempest攻击

通过自动攻击中断进行实时阻断：

• 攻击中断是Defender独有的内置自防御能力，通过多域信号、最新威胁情报和AI机器学习模型自动预测并中断攻击者下一步行动
• 基于Octo Tempest常用技术，系统会自动禁用被利用的用户账户并撤销所有活跃会话
• SOC团队需进行事件响应和事后分析以确保威胁完全遏制

调查与狩猎Octo Tempest相关活动：

• 通过Defender高级狩猎能力 proactively调查环境中的威胁
• 分析师可查询Defender XDR和Sentinel的一三方数据源，并利用安全暴露管理（Exposure Management）的暴露洞察
• 使用高级狩猎和暴露图（Exposure Graph）评估威胁行为体活动，识别高风险用户和潜在影响

主动防御Octo Tempest

通过微软安全暴露管理（Microsoft Security Exposure Management）：

• 提供关键资产保护、威胁行为体计划和攻击路径分析功能
• 确保关键资产在Defender门户中被标记为"关键"以生成相关攻击路径和建议
• 创建自定义规则扩展关键资产标识以增强防护

通过计划最小化影响：

• Octo Tempest威胁计划：针对LSASS凭证提取和攻击者控制IP登录等战术，通过ASR规则和登录策略进行缓解
• 勒索软件计划：通过强化身份、端点和基础设施层减少勒索攻击暴露面

调查本地和混合攻击路径：

• 使用攻击路径分析追踪跨域威胁（如利用Entra Connect服务器转向云工作负载）
• 通过攻击路径仪表板的"Chokepoint"视图筛选帮助台关联账户（Octo常见目标）并优先修复

防护建议

身份安全：

• 为所有用户启用多因素认证（MFA）
• 启用Entra ID Identity Protection登录风险策略
• 要求管理员使用防钓鱼MFA强度
• 确保Azure身份仅具有必要权限
• 启用Entra Privileged Identity Management

端点安全：

• 为Linux启用Defender Antivirus云交付保护
• 开启Linux实时保护
• 启用Defender for Endpoint EDR拦截模式
• 开启防篡改保护
• 启用凭证保护ASR规则
• 开启Defender Credential Guard隔离密钥

云安全：

• 为Key Vault启用清除保护
• 启用即时（JIT）网络访问控制
• 使用客户管理密钥（CMK）加密数据
• 在Azure Key Vault启用日志并保留1年
• 为虚拟机启用Azure Backup保护

通过微软安全暴露管理、Defender全面防护体系和Sentinel高级分析能力，企业可构建多层次防御体系有效应对Octo Tempest等高级威胁。