Über 130 Unternehmen waren in eine weitläufige Phishing-Kampagne verwickelt, die ein Multi-Faktor-Authentifizierungssystem fälschte.
Gezielte Angriffe auf Twilio- und Cloudflare-Mitarbeiter sind mit einer massiven Phishing-Kampagne verbunden, die dazu führte, dass 9,931 Konten bei über 130 Organisationen kompromittiert wurden. Die Kampagnen stehen im Zusammenhang mit dem gezielten Missbrauch der Identitäts- und Zugriffsverwaltungsfirma Okta, die den Bedrohungsakteuren den Spitznamen 0ktapus einbrachte, durch Forscher.
„Das Hauptziel der Bedrohungsakteure war es, Okta-Identitätsnachweise und Multi-Faktor-Authentifizierungscodes (MFA) von Benutzern der Zielorganisationen zu erhalten“, schrieben Forscher der Group-IB in einem aktuellen Bericht. „Diese Benutzer erhielten Textnachrichten mit Links zu Phishing-Sites, die die Okta-Authentifizierungsseite ihrer Organisation nachahmten.“
Betroffen waren 114 in den USA ansässige Firmen, mit weiteren Opfern in 68 weiteren Ländern.
Roberto Martinez, Senior Threat Intelligence Analyst bei Group-IB, sagte, das Ausmaß der Angriffe sei noch unbekannt. „Die 0ktapus-Kampagne war unglaublich erfolgreich, und das volle Ausmaß ist möglicherweise noch einige Zeit nicht bekannt“, sagte er.
Was die 0ktapus-Hacker wollten
Es wird angenommen, dass die 0ktapus-Angreifer ihre Kampagne damit begonnen haben, Telekommunikationsunternehmen ins Visier zu nehmen, in der Hoffnung, Zugang zu den Telefonnummern potenzieller Ziele zu erhalten.
Obwohl nicht genau bekannt ist, wie Bedrohungsakteure eine Liste von Telefonnummern erhalten haben, die bei MFA-bezogenen Angriffen verwendet wurden, gehen Forscher davon aus, dass 0ktapus-Angreifer ihre Kampagne gegen Telekommunikationsunternehmen begannen.
„[A]Laut den von Group-IB analysierten kompromittierten Daten begannen die Bedrohungsakteure ihre Angriffe, indem sie auf Mobilfunkbetreiber und Telekommunikationsunternehmen abzielten, und hätten die Zahlen dieser ersten Angriffe sammeln können“, schrieben die Forscher.
Als nächstes schickten die Angreifer Phishing-Links per Textnachricht an die Ziele. Diese Links führten zu Webseiten, die die vom Arbeitgeber der Zielperson verwendete Okta-Authentifizierungsseite nachahmten. Die Opfer wurden dann gebeten, Okta-Identitätsnachweise zusätzlich zu einem Multi-Faktor-Authentifizierungscode (MFA) einzureichen, mit dem Mitarbeiter ihre Anmeldungen sichern.
In einer begleitenden technischer Blog, erklären Forscher der Group-IB, dass die anfänglichen Kompromittierungen von meist Software-as-a-Service-Unternehmen die erste Phase eines mehrgleisigen Angriffs waren. Das ultimative Ziel von 0ktapus war es, auf Mailinglisten von Unternehmen oder kundenorientierte Systeme zuzugreifen, in der Hoffnung, Angriffe auf die Lieferkette zu erleichtern.
In einem möglichen verwandten Vorfall enthüllte die Firma DoorDash innerhalb weniger Stunden nach der Veröffentlichung ihres Berichts von Group-IB Ende letzter Woche, dass sie Ziel eines Angriffs mit allen Merkmalen eines Angriffs im Stil von 0ktapus war.
Explosionsradius: MFA-Angriffe
In einer Blog-Post DoorDash enthüllt; „Unbefugte haben die gestohlenen Zugangsdaten von Mitarbeitern des Anbieters verwendet, um sich Zugriff auf einige unserer internen Tools zu verschaffen.“ Laut dem Beitrag stahlen die Angreifer persönliche Informationen – darunter Namen, Telefonnummern, E-Mail- und Lieferadressen – von Kunden und Zustellern.
Im Laufe seiner Kampagne hat der Angreifer 5,441 MFA-Codes kompromittiert, berichtete Group-IB.
„Sicherheitsmaßnahmen wie MFA können sicher erscheinen … aber es ist klar, dass Angreifer sie mit relativ einfachen Tools überwinden können“, schreiben Forscher.
„Dies ist ein weiterer Phishing-Angriff, der zeigt, wie einfach es für Angreifer ist, eine vermeintlich sichere Multifaktor-Authentifizierung zu umgehen“, schrieb Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, in einer Erklärung per E-Mail. „Es bringt einfach nichts, Benutzer von leicht zu phishenden Passwörtern auf leicht zu phishende MFA umzustellen. Es ist eine Menge harter Arbeit, Ressourcen, Zeit und Geld, um keinen Nutzen zu erzielen.“
Um Kampagnen im Stil von 0ktapus abzumildern, empfahlen die Forscher eine gute Hygiene in Bezug auf URLs und Passwörter sowie deren Verwendung FIDO2-konforme Sicherheitsschlüssel für MFA.
„Welche MFA auch immer jemand verwendet“, riet Grimes, „der Benutzer sollte über die gängigen Arten von Angriffen unterrichtet werden, die gegen seine Form von MFA begangen werden, wie man diese Angriffe erkennt und wie man darauf reagiert. Wir tun dasselbe, wenn wir Benutzern sagen, dass sie Passwörter auswählen sollen, aber nicht, wenn wir ihnen sagen, dass sie angeblich sicherere MFA verwenden sollen.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :hast
- :Ist
- :nicht
- 114
- 9
- a
- LiveBuzz
- Missbrauch
- Zugang
- Nach
- Trading Konten
- über
- Akteure
- Zusatz
- Zusätzliche
- Adressen
- beraten
- gegen
- Alle
- an
- Analytiker
- analysiert
- und
- Ein anderer
- jedem
- erscheinen
- SIND
- um
- AS
- At
- Attacke
- Anschläge
- Authentifizierung
- BE
- war
- begann
- begonnen
- Sein
- angenommen
- Nutzen
- aber
- by
- Kampagnen (Campaign)
- Kampagnen
- CAN
- klar
- CloudFlare
- Codes
- begangen
- gemeinsam
- Unternehmen
- Unternehmen
- Kompromittiert
- könnte
- Ländern
- Kurs
- Referenzen
- Kunden
- technische Daten
- datengesteuerte
- Militär
- Lieferanten
- do
- die
- Nicht
- DoorDash
- leicht
- Einfache
- Mitarbeiter
- Evangelist
- genau
- Erklären
- erleichtern
- Fest
- Firmen
- konzentriert
- Aussichten für
- unten stehende Formular
- für
- voller
- Gewinnen
- gewonnen
- bekommen
- Kundenziele
- gut
- Gruppe an
- Hacker
- Markenzeichen
- hart
- harte Arbeit
- Haben
- he
- hofft,
- STUNDEN
- Ultraschall
- Hilfe
- HTTPS
- Identitätsschutz
- Identitäts- und Zugriffsverwaltung
- in
- Zwischenfall
- Einschließlich
- unglaublich
- Information
- Anfangs-
- Intelligenz
- intern
- IT
- SEINE
- jpg
- Tasten
- bekannt
- Nachname
- Spät
- geführt
- Links
- Liste
- Listen
- logins
- Los
- Postversand
- Management
- massiv
- Kann..
- Maßnahmen
- Nachrichten
- MFA
- Mildern
- Mobil
- Geld
- mehr
- meist
- schlauer bewegen
- Multi-Faktor-Authentifizierung
- Multifaktor-Authentifizierung
- Namen
- nicht
- Zahlen
- erhalten
- erhalten
- of
- OKTA
- on
- EINEM
- Betreiber
- or
- Organisation
- Organisationen
- UNSERE
- übrig
- Überwinden
- Überblick
- Seite
- Party
- Passwörter
- Personen
- persönliche
- Phishing
- Phishing-Attacke
- Phishing-Kampagne
- Phishing-Sites
- Telefon
- wählen
- Plato
- Datenintelligenz von Plato
- PlatoData
- möglich
- Post
- Potenzial
- primär
- Publishing
- Received
- kürzlich
- erkennen
- empfohlen
- bezogene
- verhältnismäßig
- berichten
- Berichtet
- Forscher
- Downloads
- Reagieren
- Folge
- Revealed
- Said
- gleich
- Skalieren
- Umfang
- Verbindung
- Sicherheitdienst
- Senior
- geschickt
- sollte
- zeigt
- Einfacher
- einfach
- Seiten
- einige
- Jemand,
- begonnen
- Erklärung
- Immer noch
- gestohlen
- abschicken
- erfolgreich
- so
- System
- Systeme und Techniken
- gezielt
- Targeting
- Ziele
- gelehrt
- Telekommunikation
- erzählen
- Text
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- dann
- Theorie
- diejenigen
- Bedrohung
- Bedrohungsakteure
- Bedrohungsanalyse
- Gebunden
- Zeit
- zu
- Werkzeuge
- Twilio
- Typen
- letzte
- unbekannt
- -
- benutzt
- Mitglied
- Nutzer
- verwendet
- Verwendung von
- Verkäufer
- Opfer
- wurde
- we
- Woche
- ging
- waren
- wann
- welche
- gewinnt
- mit
- .
- Arbeiten
- schrieb
- noch
- Zephyrnet
