骇客组织0ktapus部署勒索软体BlackCat，从事档案加密及破坏，向受害者进行勒索

研究人员看到这些骇客也会一般员工下手，发动对手中间人攻击（AiTM），或是进行其他社交工程攻击，从而在受害电脑部署远端管理工具（RMM），或是清除受害者FIDO2的Token。再者，过往这些骇客擅长的SIM挟持攻击，也是他们用于入侵的管道之一。

一旦成功入侵目标组织，骇客便会执行侦察工作，从而掌握高权限，先是从AD大量汇出使用者、群组、装置资讯，再取得虚拟化环境的基础架构，以及企业管理的资源组态，并对于云端环境、程式码储存库、伺服器、备份管理基础架构进行调查，过程中骇客运用多项工具来进行，例如：利用PingCastle与ADRecon侦察AD、透过Advanced IP Scanner拓扑受害组织网路、采用Go程式库Govmomi列出所有的vCenter的API、运用PowerShell模组PureStorage FlashArray找出储存阵列等。

而对于这些骇客如何在受害组织提升权限，研究人员指出，他们会利用社交工程攻击，借由外流的密码设置流程，以及大量收集的用户、群组资料，透过各种方式建立信任来达成目的。在某些情况下，攻击者还会利用流出的经理帐号，核准密码重置请求，而能绕过组织正常的申请重置密码程序。

除此之外，骇客也会利用开源工具Jercretz和TruffleHog，在组织的程式码储存库挖掘明文帐密资料、金钥等机密，以便进一步利用。再者，这些骇客也会利用MicroBurst企图存取组织存放的帐密资料，或是透过Mimikatz、Hekatomb、Lazagne、gosecretsdump、smbpasswd.py、LinPEAS、ADFSDump等开源工具收集。

而在其他提升权限的手法上，他们还会利用名为VMAccess Extension的工具，对建置于Azure的虚拟机器（VM）重设密码，或是窜改组态。或者，对于虚拟网域控制器磁区进行快照备份，来取得AD资料库档案NTDS.dit。

为了避免东窗事发，骇客入侵资安部门，并控制装置管理系统及端点防护系统

值得留意的是，这些骇客在过程中为了避免遭到侦测，骇客还会对于资安部门的人员下手，目的是透过端点侦测与回应系统（EDR）、装置管理系统，或是开源工具Privacy.sexy框架，停用资安产品及安全功能，从而放行恶意程式、部署远端管理工具、窃取机密资料，他们甚至会窜改IT人员的电子邮件规则，自动删除资安系统或是供应商发出的警告。

对于骇客如何持续在受害组织活动，研究人员指出，他们也运用了多种开源或远端桌面连线工具如：ScreenConnect、FleetDeck、AnyDesk、RustDesk、Splashtop、Pulseway、TightVNC、LummaC2、Level.io、Mesh、TacticalRMM、Tailscale、Ngrok、WsTunnel、Rsocx、catcatel来进行。同时，无论是Windows还是Linux电脑，研究人员发现骇客都会部署反向Shell。

再者，这些骇客也会利用隧道工具Twingate，并利用Azure容器充当专属的连接器，而不致将行踪曝露于网际网路。此外，对于VMware虚拟化环境，骇客则是罕见地部署Linux后门程式Bedevil，并启动Python指令码对虚拟机器下达命令。

窃取资料的层面多元，涵盖档案共用系统、程式码储存库、资料库、应用程式系统

究竟这些骇客的攻击目的为何？研究人员认为，主要还是获取经济利益，但不同的是，现在这些骇客不只窃取加密货币，还会进行勒索软体攻击。

值得一提的是，骇客在部署勒索软体之前，他们会透过合法的用户端程式，例如：DBeaver、MongoDB Compass、Azure SQL查询编辑器、Cerebrata，来存取程式码储存库，以及资料库、档案共用系统，窃取机密资料，之后透过GoFile.io、Sh.Azl、StorjShare、Temp.sh、MegaSync、Paste.ee、Backblaze等多种匿名档案代管服务将资料流出。

此外，研究人员也看到骇客采用另一种较为特殊的手法，就是滥用资料整合服务Azure Data Factory，将特定资料自动化传送至骇客架设的SFTP伺服器。而针对存放于SharePont的资料，攻击者则会透过合法的Microsoft 365备份解决方案，像是Veeam、AFI Backup、CommVault进行汇出。

至于Salesforce、ZenDesk等其他骇客认为具备高价值的应用系统，他们会透过FiveTran等第三方服务，透过API连接器来复制资料库的内容。