Over 130 virksomheder viklet ind i en omfattende phishing-kampagne, der forfalskede et multi-faktor autentificeringssystem.
Målrettede angreb på Twilio- og Cloudflare-medarbejdere er knyttet til en massiv phishing-kampagne, der resulterede i, at 9,931 konti hos over 130 organisationer blev kompromitteret. Kampagnerne er knyttet til fokuseret misbrug af identitets- og adgangsstyringsfirmaet Okta, som fik trusselsaktørerne 0ktapus-navnet af forskere.
"Trusselsaktørernes primære mål var at opnå Okta-identitetsoplysninger og multi-factor authentication (MFA)-koder fra brugere af de målrettede organisationer," skrev Group-IB-forskere i en nylig rapport. "Disse brugere modtog tekstbeskeder med links til phishing-websteder, der efterlignede Okta-godkendelsessiden for deres organisation."
Berørt var 114 USA-baserede virksomheder, med yderligere ofre for spredt over 68 yderligere lande.
Roberto Martinez, senior trusselefterretningsanalytiker hos Group-IB, sagde, at omfanget af angrebene stadig er ukendt. "0ktapus-kampagnen har været utrolig vellykket, og den fulde skala af den er måske ikke kendt i nogen tid," sagde han.
Hvad 0ktapus-hackerne ville have
0ktapus-angriberne menes at have startet deres kampagne ved at målrette mod teleselskaber i håb om at vinde adgang til potentielle måls telefonnumre.
Selvom de er usikre på præcist, hvordan trusselsaktører opnåede en liste over telefonnumre, der blev brugt i MFA-relaterede angreb, er en teori, forskere hævder, at 0ktapus-angribere begyndte deres kampagne rettet mod teleselskaber.
"Ifølge de kompromitterede data analyseret af Group-IB startede trusselsaktørerne deres angreb ved at målrette mobiloperatører og teleselskaber og kunne have indsamlet tallene fra disse indledende angreb," skrev forskere.
Dernæst sendte angribere phishing-links til mål via tekstbeskeder. Disse links førte til websider, der efterligne Okta-godkendelsessiden, der blev brugt af målets arbejdsgiver. Ofrene blev derefter bedt om at indsende Okta-identitetsoplysninger ud over en multi-factor authentication (MFA) koder, som ansatte brugte til at sikre deres logins.
I en ledsagende teknisk blog, forklarer forskere ved Group-IB, at de indledende kompromiser for hovedsageligt software-as-a-service-virksomheder var en fase et i et flerstrenget angreb. 0ktapus' ultimative mål var at få adgang til virksomhedens mailinglister eller kundevendte systemer i håb om at lette forsyningskædeangreb.
I en mulig relateret hændelse, få timer efter Group-IB offentliggjorde sin rapport i slutningen af sidste uge, afslørede firmaet DoorDash, at det var målrettet i et angreb med alle kendetegnene for et angreb i 0ktapus-stil.
Blast Radius: MFA-angreb
I en blogindlæg DoorDash afslørede; "uautoriseret part brugte stjålne legitimationsoplysninger fra leverandørmedarbejdere til at få adgang til nogle af vores interne værktøjer." Angriberne fortsatte ifølge posten med at stjæle personlige oplysninger - herunder navne, telefonnumre, e-mail og leveringsadresser - fra kunder og leveringsfolk.
I løbet af sin kampagne kompromitterede angriberen 5,441 MFA-koder, rapporterede Group-IB.
"Sikkerhedsforanstaltninger såsom MFA kan virke sikre ... men det er klart, at angribere kan overvinde dem med relativt enkle værktøjer," skrev forskere.
"Dette er endnu et phishing-angreb, der viser, hvor nemt det er for modstandere at omgå formodet sikker multifaktorautentificering," skrev Roger Grimes, datadrevet forsvarsevangelist hos KnowBe4, i en erklæring via e-mail. “Det nytter simpelthen ikke at flytte brugere fra let phish-adgangskoder til let phish-klare MFA. Det er meget hårdt arbejde, ressourcer, tid og penge, for ikke at få nogen fordel.”
For at afbøde kampagner i 0ktapus-stil anbefalede forskerne god hygiejne omkring webadresser og adgangskoder og FIDO2-kompatible sikkerhedsnøgler til MFA.
"Uanset hvilken MFA nogen bruger," rådede Grimes, "bør brugeren læres om de almindelige typer af angreb, der begås mod deres form for MFA, hvordan man genkender disse angreb, og hvordan man reagerer. Vi gør det samme, når vi beder brugerne om at vælge adgangskoder, men gør ikke, når vi fortæller dem, at de skal bruge angiveligt mere sikker MFA."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :har
- :er
- :ikke
- 114
- 9
- a
- Om
- misbrug
- adgang
- adgangsstyring
- Ifølge
- Konti
- tværs
- aktører
- Desuden
- Yderligere
- adresser
- rådgivet
- mod
- Alle
- an
- analytiker
- analyseret
- ,
- En anden
- enhver
- vises
- ER
- omkring
- AS
- At
- angribe
- Angreb
- Godkendelse
- BE
- været
- begyndte
- begyndt
- være
- troede
- gavner det dig
- men
- by
- Kampagne
- Kampagner
- CAN
- klar
- CloudFlare
- koder
- engageret
- Fælles
- Virksomheder
- selskab
- Kompromitteret
- kunne
- lande
- kursus
- Legitimationsoplysninger
- Kunder
- data
- datastyret
- Forsvar
- levering
- do
- gør
- Dont
- DoorDash
- nemt
- let
- medarbejdere
- Evangelist
- præcist nok
- Forklar
- faciliterende
- Firm
- firmaer
- fokuserede
- Til
- formular
- fra
- fuld
- Gevinst
- vundet
- få
- mål
- godt
- gruppe
- hackere
- kendetegnende
- Hård Ost
- hårdt arbejde
- Have
- he
- håber
- HOURS
- Hvordan
- How To
- HTTPS
- Identity
- identitets- og adgangsstyring
- in
- hændelse
- Herunder
- utroligt
- oplysninger
- initial
- Intelligens
- interne
- IT
- ITS
- jpg
- nøgler
- kendt
- Efternavn
- Sent
- Led
- links
- Liste
- Lister
- logins
- Lot
- mailing
- ledelse
- massive
- Kan..
- foranstaltninger
- beskeder
- MFA
- afbøde
- Mobil
- penge
- mere
- for det meste
- bevæge sig
- multi-faktor autentificering
- multifaktorgodkendelse
- navne
- ingen
- numre
- opnå
- opnået
- of
- Okta
- on
- ONE
- Operatører
- or
- organisation
- organisationer
- vores
- i løbet af
- Overvind
- oversigt
- side
- part
- Nulstilling/ændring af adgangskoder
- Mennesker
- personale
- Phishing
- phishing-angreb
- phishing-kampagne
- Phishing-websteder
- telefon
- pick
- plato
- Platon Data Intelligence
- PlatoData
- mulig
- Indlæg
- potentiale
- primære
- Publicering
- modtaget
- nylige
- genkende
- anbefales
- relaterede
- relativt
- indberette
- rapporteret
- forskere
- Ressourcer
- Svar
- resulteret
- Revealed
- Said
- samme
- Scale
- rækkevidde
- sikker
- sikkerhed
- senior
- sendt
- bør
- viser
- Simpelt
- ganske enkelt
- Websteder
- nogle
- Nogen
- påbegyndt
- Statement
- Stadig
- stjålet
- indsende
- vellykket
- sådan
- systemet
- Systemer
- målrettet
- rettet mod
- mål
- undervist
- telekommunikation
- fortælle
- tekst
- at
- deres
- Them
- derefter
- teori
- dem
- trussel
- trusselsaktører
- trussel intelligens
- Tied
- tid
- til
- værktøjer
- Twilio
- typer
- ultimativ
- ukendt
- brug
- anvendte
- Bruger
- brugere
- bruger
- ved brug af
- sælger
- via
- ofre
- var
- we
- uge
- gik
- var
- hvornår
- som
- vindende
- med
- inden for
- Arbejde
- skrev
- endnu
- zephyrnet
