Üle 130 ettevõtte sattus laialivalguvasse andmepüügikampaaniasse, mis võltsis mitmefaktorilist autentimissüsteemi.
Sihitud rünnakud Twilio ja Cloudflare'i töötajate vastu on seotud ulatusliku andmepüügikampaaniaga, mille tulemusena sattus ohtu 9,931 kontot enam kui 130 organisatsioonis. Kampaaniad on seotud identiteedi- ja juurdepääsuhaldusfirma Okta sihipärase kuritarvitamisega, mis sai teadlastelt ohus osalejatele nimeks 0ktapus.
"Ohus osalejate esmane eesmärk oli hankida sihtorganisatsioonide kasutajatelt Okta identiteedimandaadid ja mitmefaktorilise autentimise (MFA) koodid," kirjutasid Group-IB teadlased. hiljutises aruandes. "Need kasutajad said tekstisõnumeid, mis sisaldasid linke andmepüügisaitidele, mis jäljendasid nende organisatsiooni Okta autentimislehte."
Mõju oli 114 USA-s asuvale ettevõttele ja 68 riigile sattus täiendavaid ohvreid.
Group-IB ohuluure vanemanalüütik Roberto Martinez ütles, et rünnakute ulatus on endiselt teadmata. "0ktapuse kampaania on olnud uskumatult edukas ja selle täielikku ulatust ei pruugita mõnda aega teada," ütles ta.
Mida 0ktapuse häkkerid tahtsid
Arvatakse, et 0ktapuse ründajad alustasid oma kampaaniat telekommunikatsiooniettevõtete sihtmärgiga, lootes võita juurdepääsu potentsiaalsete sihtmärkide telefoninumbritele.
Ehkki pole täpselt kindel, kuidas ohus osalejad said makromajandusliku finantsabiga seotud rünnakutes kasutatud telefoninumbrite loendi, on teadlaste ühe teooria kohaselt see, et 0ktapuse ründajad alustasid oma kampaaniat, mis oli suunatud telekommunikatsiooniettevõtetele.
"[A]Grupi IB analüüsitud ohustatud andmete kohaselt alustasid ohutegijad oma rünnakuid mobiilsideoperaatorite ja telekommunikatsiooniettevõtete sihtmärgiks ning oleksid võinud koguda nende esialgsete rünnakute arvud," kirjutasid teadlased.
Järgmiseks saatsid ründajad tekstisõnumitega sihtmärkidele andmepüügilinke. Need lingid viisid veebilehtedeni, mis jäljendavad sihtmärgi tööandja kasutatud Okta autentimislehte. Seejärel paluti ohvritel esitada lisaks mitmefaktorilise autentimise (MFA) koodidele, mida töötajad kasutasid oma sisselogimiste turvamiseks, Okta identiteedimandaadid.
Kaasas tehniline ajaveeb, selgitavad Group-IB teadlased, et peamiselt tarkvara kui teenusega tegelevate ettevõtete esialgsed kompromissid olid mitmekülgse rünnaku esimene etapp. 0ktapuse lõppeesmärk oli pääseda ligi ettevõtte meililistidele või klientidele suunatud süsteemidele, lootes hõlbustada tarneahela rünnakuid.
Võimaliku sellega seotud intsidendi korral, mõne tunni jooksul pärast Group-IB aruande avaldamist eelmise nädala lõpus, paljastas ettevõte DoorDash, et see oli suunatud rünnakule, millel on kõik 0ktapus-tüüpi rünnaku tunnused.
Plahvatuse raadius: MFA rünnakud
Aastal blogi postitus DoorDash paljastas; "Volita pool kasutas müüja töötajate varastatud mandaate, et pääseda juurde mõnele meie sisemisele tööriistale." Postituse kohaselt varastasid ründajad klientidelt ja kohaletoimetajatelt isiklikku teavet, sealhulgas nimesid, telefoninumbreid, e-posti ja kohaletoimetamise aadresse.
Ründaja rikkus oma kampaania käigus 5,441 MFA koodi, teatas Group-IB.
"Turvameetmed, nagu MFA, võivad tunduda turvalised, kuid on selge, et ründajad saavad neist üle suhteliselt lihtsate vahenditega," kirjutasid teadlased.
"See on järjekordne andmepüügirünnak, mis näitab, kui lihtne on vastastel väidetavalt turvalisest mitmefaktorilisest autentimisest mööda minna," kirjutas KnowBe4 andmepõhine kaitseevangelist Roger Grimes e-posti teel saadetud avalduses. „Kasutajate teisaldamine hõlpsalt andmepüügiga võimaldatavatelt paroolidelt lihtsalt andmepüügiga tegelevasse MFA-sse pole lihtsalt kasulik. See nõuab palju rasket tööd, ressursse, aega ja raha, et mitte mingit kasu saada.
0ktapus-tüüpi kampaaniate leevendamiseks soovitasid teadlased URL-ide ja paroolide suhtes head hügieeni ning FIDO2-ühilduvad MFA turvavõtmed.
"Ükskõik, millist MFA-d keegi kasutab," soovitas Grimes, "kasutajale tuleks õpetada, millised on levinumad rünnakud nende MFA vormi vastu, kuidas neid rünnakuid ära tunda ja kuidas reageerida. Teeme sama, kui käsime kasutajatel paroolid valida, kuid mitte siis, kui käsime neil kasutada väidetavalt turvalisemat MFA-d.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :on
- :on
- :mitte
- 114
- 9
- a
- MEIST
- kuritarvitamise
- juurdepääs
- juurdepääsu haldamine
- Vastavalt
- Kontod
- üle
- osalejad
- lisamine
- Täiendavad lisad
- aadressid
- soovitatav
- vastu
- Materjal: BPA ja flataatide vaba plastik
- an
- analüütik
- analüüsitud
- ja
- Teine
- mistahes
- ilmuma
- OLEME
- ümber
- AS
- At
- rünnak
- Reageerib
- Autentimine
- BE
- olnud
- hakkas
- alanud
- on
- Arvatakse
- kasu
- kuid
- by
- Kampaania
- Kampaaniad
- CAN
- selge
- CloudFlare
- koodid
- toime pandud
- ühine
- Ettevõtted
- ettevõte
- Kompromissitud
- võiks
- riikides
- kursus
- volikiri
- Kliendid
- andmed
- andmepõhistele
- kaitse
- tarne
- do
- ei
- Ära
- DoorDash
- kergesti
- lihtne
- töötajad
- Evangelist
- täpselt
- Selgitama
- hõlbustades
- Firma
- ettevõtetele
- keskendunud
- eest
- vorm
- Alates
- täis
- kasu
- saadud
- saama
- eesmärk
- hea
- Grupp
- häkkerid
- tunnused
- Raske
- raske töö
- Olema
- he
- loodab
- Lahtiolekuajad
- Kuidas
- Kuidas
- HTTPS
- Identity
- identiteedi ja juurdepääsu haldamine
- in
- juhtum
- Kaasa arvatud
- uskumatult
- info
- esialgne
- Intelligentsus
- sisemine
- IT
- ITS
- jpg
- võtmed
- teatud
- viimane
- Hilja
- Led
- lingid
- nimekiri
- Nimekirjad
- sisselogimine
- Partii
- postitamine
- juhtimine
- suur
- mai..
- meetmed
- kirjad
- MFA
- Leevendada
- mobiilne
- raha
- rohkem
- enamasti
- liikuma
- mitme faktori autentimine
- mitme teguri autentimine
- nimed
- ei
- numbrid
- saama
- saadud
- of
- OKTA
- on
- ONE
- ettevõtjad
- or
- organisatsioon
- organisatsioonid
- meie
- üle
- Ületada
- ülevaade
- lehekülg
- partei
- paroolid
- Inimesed
- isiklik
- Phishing
- õngevõtmiskatset
- andmepüügikampaania
- Andmepüügisaidid
- telefon
- valima
- Platon
- Platoni andmete intelligentsus
- PlatoData
- võimalik
- post
- potentsiaal
- esmane
- Kirjastamine
- saadud
- hiljuti
- tunnistama
- soovitatav
- seotud
- suhteliselt
- aru
- Teatatud
- Teadlased
- Vahendid
- Reageerida
- põhjustanud
- Revealed
- Ütlesin
- sama
- Skaala
- ulatus
- kindlustama
- turvalisus
- vanem
- Saadetud
- peaks
- näidates
- lihtne
- lihtsalt
- Saidid
- mõned
- Keegi
- alustatud
- väljavõte
- Veel
- varastatud
- esitama
- edukas
- selline
- süsteem
- süsteemid
- suunatud
- sihtimine
- eesmärgid
- õpetas
- telekommunikatsioon
- öelda
- tekst
- et
- .
- oma
- Neile
- SIIS
- teooria
- need
- oht
- ohus osalejad
- ohtude luure
- seotud
- aeg
- et
- töövahendid
- Twilio
- liigid
- lõplik
- tundmatu
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- müüja
- kaudu
- ohvreid
- oli
- we
- nädal
- läks
- olid
- millal
- mis
- võit
- koos
- jooksul
- Töö
- kirjutas
- veel
- sephyrnet
