شاخک های گروه تهدید '0ktapus' 130 شرکت را قربانی می کنند

حملات هدفمند به کارمندان Twilio و Cloudflare با یک کمپین فیشینگ گسترده مرتبط است که منجر به در معرض خطر قرار گرفتن 9,931 حساب در بیش از 130 سازمان شد. این کمپین‌ها با سوء استفاده متمرکز از هویت و شرکت مدیریت دسترسی Okta، که عاملان تهدید نام 0ktapus را به خود اختصاص داده است، توسط محققان مرتبط است.

محققان Group-IB نوشتند: "هدف اولیه بازیگران تهدید به دست آوردن اعتبار هویت Okta و کدهای احراز هویت چند عاملی (MFA) از کاربران سازمان های هدف بود." در گزارش اخیر. این کاربران پیام‌های متنی حاوی پیوندهایی به سایت‌های فیشینگ دریافت کردند که از صفحه احراز هویت Okta سازمانشان تقلید می‌کردند.»

114 شرکت مستقر در ایالات متحده تحت تأثیر قرار گرفتند و قربانیان اضافی در 68 کشور دیگر پاشیده شدند.

روبرتو مارتینز، تحلیلگر ارشد اطلاعات تهدید در Group-IB، گفت که دامنه حملات هنوز نامعلوم است. او گفت: "کمپین 0ktapus فوق العاده موفقیت آمیز بوده است و مقیاس کامل آن ممکن است برای مدتی مشخص نباشد."

آنچه هکرهای 0ktapus می خواستند

اعتقاد بر این است که مهاجمان 0ktapus کمپین خود را با هدف قرار دادن شرکت های مخابراتی به امید دسترسی به شماره تلفن اهداف احتمالی آغاز کرده اند.

در حالی که مطمئن نیستیم عوامل تهدید دقیقاً چگونه لیستی از شماره تلفن های مورد استفاده در حملات مربوط به وزارت دفاع را به دست آورده اند، یک نظریه که محققان مطرح می کنند این است که مهاجمان 0ktapus کمپین خود را با هدف قرار دادن شرکت های مخابراتی آغاز کردند.

محققان نوشتند: «بر اساس داده‌های به خطر افتاده که توسط Group-IB تجزیه و تحلیل شد، عوامل تهدید حملات خود را با هدف قرار دادن اپراتورهای تلفن همراه و شرکت‌های مخابراتی آغاز کردند و می‌توانستند اعداد آن حملات اولیه را جمع‌آوری کنند».

در مرحله بعد، مهاجمان لینک های فیشینگ را از طریق پیام های متنی به اهداف ارسال کردند. این پیوندها به صفحات وب تقلید از صفحه احراز هویت Okta که توسط کارفرمای هدف استفاده می شود منجر شد. سپس از قربانیان خواسته شد تا علاوه بر کدهای احراز هویت چند عاملی (MFA) که کارمندان برای ایمن کردن ورود خود از آنها استفاده می‌کردند، اعتبارنامه هویت Okta را نیز ارسال کنند.

در یک همراه وبلاگ فنیمحققان در Group-IB توضیح می‌دهند که سازش‌های اولیه شرکت‌های عمدتاً نرم‌افزار به‌عنوان سرویس، مرحله اول در یک حمله چند جانبه بود. هدف نهایی 0ktapus دسترسی به لیست های پستی شرکت یا سیستم های مواجه با مشتری به امید تسهیل حملات زنجیره تامین بود.

در یک حادثه احتمالی مرتبط، چند ساعت پس از انتشار گزارش Group-IB در اواخر هفته گذشته، شرکت DoorDash فاش کرد که در یک حمله با تمام نشانه‌های حمله به سبک 0ktapus هدف قرار گرفته است.

شعاع انفجار: حملات وزارت خارجه

در یک پست های وبلاگ DoorDash فاش کرد؛ "طرف غیرمجاز از اعتبار دزدیده شده کارمندان فروشنده برای دسترسی به برخی از ابزارهای داخلی ما استفاده کرد." بر اساس این پست، مهاجمان به سرقت اطلاعات شخصی - از جمله نام، شماره تلفن، ایمیل و آدرس های تحویل کالا- از مشتریان و افراد ارسال کننده ادامه دادند.

گروه-IB گزارش داد که در جریان کمپین خود، مهاجم 5,441 کد MFA را به خطر انداخته است.

محققان نوشتند: "اقدامات امنیتی مانند MFA می توانند امن به نظر برسند... اما واضح است که مهاجمان می توانند با ابزارهای نسبتا ساده بر آنها غلبه کنند."

راجر گریمز، مبشر دفاعی مبتنی بر داده در KnowBe4، در بیانیه‌ای از طریق ایمیل نوشت: «این یک حمله فیشینگ دیگر است که نشان می‌دهد چقدر آسان است که دشمنان از احراز هویت چند عاملی به ظاهر امن عبور کنند.» انتقال کاربران از گذرواژه‌هایی که به راحتی قابل فیش هستند به MFA به راحتی قابل فیش کردن فایده‌ای ندارد. این کار سخت، منابع، زمان و پول زیادی است تا هیچ سودی به دست نیاورد.»

برای کاهش کمپین‌های سبک 0ktapus، محققان بهداشت مناسب در مورد URLها و گذرواژه‌ها و استفاده از آنها را توصیه کردند. FIDO2-کلیدهای امنیتی سازگار برای MFA.

گریمز توصیه می‌کند: «از هر MFA که کسی استفاده می‌کند، باید به کاربر در مورد انواع رایج حملاتی که علیه فرم MFA آنها انجام می‌شود، نحوه تشخیص آن حملات و نحوه واکنش آموزش داده شود. هنگامی که به کاربران می‌گوییم پسورد انتخاب کنند، همین کار را می‌کنیم، اما وقتی به آنها می‌گوییم از MFA ظاهراً ایمن‌تر استفاده کنند، این کار را نمی‌کنیم.