مخالب مجموعة التهديد "0ktapus" تستهدف 130 شركة

أعاد نشره أفلاطون

المتابعون: 0

أكثر من 130 شركة متشابكة في حملة تصيد واسعة النطاق انتحلت نظام مصادقة متعدد العوامل.

ترتبط الهجمات المستهدفة على موظفي Twilio و Cloudflare بحملة تصيد واسعة النطاق أسفرت عن اختراق 9,931،130 حسابًا في أكثر من 0 مؤسسة. ترتبط الحملات بإساءة استخدام مركزة للهوية وإدارة الوصول Okta ، والتي اكتسبت الجهات الفاعلة المهددة بلقب XNUMXktapus ، من قبل الباحثين.

كتب باحثو Group-IB: "كان الهدف الأساسي للجهات الفاعلة في التهديد هو الحصول على بيانات اعتماد هوية Okta ورموز المصادقة متعددة العوامل (MFA) من مستخدمي المنظمات المستهدفة". في تقرير حديث. "تلقى هؤلاء المستخدمون رسائل نصية تحتوي على روابط لمواقع التصيد الاحتيالي التي تحاكي صفحة مصادقة Okta لمؤسستهم."

تأثرت 114 شركة مقرها الولايات المتحدة ، مع انتشار ضحايا إضافيين في 68 دولة أخرى.

وقال روبرتو مارتينيز ، كبير محللي استخبارات التهديدات في Group-IB ، إن نطاق الهجمات لا يزال مجهولاً. قال: "لقد كانت حملة 0ktapus ناجحة بشكل لا يصدق ، وقد لا يكون الحجم الكامل لها معروفًا لبعض الوقت".

ماذا يريد قراصنة 0ktapus

يُعتقد أن مهاجمي 0ktapus بدأوا حملتهم باستهداف شركات الاتصالات على أمل الوصول إلى أرقام هواتف الأهداف المحتملة.

على الرغم من عدم التأكد تمامًا من كيفية حصول الجهات الفاعلة في التهديد على قائمة بأرقام الهواتف المستخدمة في الهجمات المتعلقة بـ MFA ، يفترض باحثو إحدى النظريات أن مهاجمي 0ktapus بدأوا حملتهم التي تستهدف شركات الاتصالات.

كتب الباحثون: "وفقًا للبيانات المخترقة التي تم تحليلها من قبل Group-IB ، بدأ الفاعلون المهددون هجماتهم من خلال استهداف مشغلي الهاتف المحمول وشركات الاتصالات ، وكان بإمكانهم جمع الأرقام من تلك الهجمات الأولية".

بعد ذلك ، أرسل المهاجمون روابط تصيد إلى أهداف عبر الرسائل النصية. أدت هذه الروابط إلى صفحات ويب تحاكي صفحة مصادقة Okta التي يستخدمها صاحب العمل المستهدف. ثم طُلب من الضحايا تقديم بيانات اعتماد هوية Okta بالإضافة إلى رموز المصادقة متعددة العوامل (MFA) التي يستخدمها الموظفون لتأمين عمليات تسجيل الدخول الخاصة بهم.

في مرافقة مدونة تقنية، أوضح الباحثون في Group-IB أن التسويات الأولية لشركات البرامج كخدمة في الغالب كانت المرحلة الأولى في هجوم متعدد الجوانب. كان الهدف النهائي لـ 0ktapus هو الوصول إلى القوائم البريدية للشركة أو الأنظمة التي تواجه العملاء على أمل تسهيل هجمات سلسلة التوريد.

في حادثة محتملة ذات صلة ، في غضون ساعات من نشر Group-IB لتقريرها أواخر الأسبوع الماضي ، كشفت شركة DoorDash أنها استُهدفت في هجوم بكل السمات المميزة لهجوم على غرار 0ktapus.

نطاق الانفجار: هجمات MFA

في باقة بلوق وظيفة كشفت DoorDash ؛ "استخدم الطرف غير المصرح له بيانات الاعتماد المسروقة لموظفي البائعين للوصول إلى بعض أدواتنا الداخلية." وفقًا للمنشور ، استمر المهاجمون في سرقة المعلومات الشخصية - بما في ذلك الأسماء وأرقام الهواتف والبريد الإلكتروني وعناوين التسليم - من العملاء وموظفي التوصيل.

أفادت Group-IB أنه خلال حملتها ، قام المهاجم باختراق 5,441 رمز MFA.

كتب الباحثون: "يمكن أن تبدو الإجراءات الأمنية مثل أسلوب العائلي المتعدد (MFA) آمنة ... ولكن من الواضح أن المهاجمين يمكنهم التغلب عليها بأدوات بسيطة نسبيًا".

كتب روجر غرايمز ، المبشر الدفاعي القائم على البيانات في KnowBe4 ، في بيان عبر البريد الإلكتروني: "هذا هجوم تصيد آخر يظهر مدى سهولة تجاوز الخصوم للمصادقة متعددة العوامل التي يفترض أنها آمنة". "ببساطة ، لا يفيد نقل المستخدمين من كلمات المرور التي يمكن التصيد الاحتيالي إليها بسهولة إلى أسلوب MFA القابل للتصيد الاحتيالي. إنه الكثير من العمل الشاق والموارد والوقت والمال ، حتى لا تحصل على أي فائدة ".

للتخفيف من الحملات على غرار 0ktapus ، أوصى الباحثون بالنظافة الجيدة حول عناوين URL وكلمات المرور ، واستخدامها فيدو2-متوافقة مع مفاتيح الأمان لـ MFA.

نصح غرايمز بأنه "مهما كان أسلوب العائالت المتعددة MFA الذي يستخدمه شخص ما ، يجب تعليم المستخدم الأنواع الشائعة للهجمات التي تُرتكب ضد شكل أسلوب العائلي المتعدد الذي يستخدمه ، وكيفية التعرف على تلك الهجمات ، وكيفية الرد عليها. نفعل الشيء نفسه عندما نطلب من المستخدمين اختيار كلمات المرور ولكن لا نفعل ذلك عندما نطلب منهم استخدام أسلوب العائلي المتعدد (MFA) الذي يُفترض أنه أكثر أمانًا ".