Yli 130 yritystä sotkeutui laajaan tietojenkalastelukampanjaan, joka huijasi monitekijäistä todennusjärjestelmää.
Kohdistetut hyökkäykset Twilion ja Cloudflaren työntekijöitä vastaan on sidottu massiiviseen tietojenkalastelukampanjaan, joka johti 9,931 130 tilin vaarantumiseen yli 0 organisaatiossa. Kampanjat liittyvät kohdennettuun identiteetin väärinkäyttöön ja pääsynhallintayhtiö Oktaan, joka sai tutkijoilta uhkatoimijoille XNUMXktapus-nimen.
"Uhkatoimijoiden ensisijainen tavoite oli saada Okta-identiteettitunnisteet ja monitekijätodennuskoodit (MFA) kohdeorganisaatioiden käyttäjiltä", kirjoitti Group-IB:n tutkijat. tuoreessa raportissa. "Nämä käyttäjät saivat tekstiviestejä, joissa oli linkkejä tietojenkalastelusivustoille, jotka matkivat heidän organisaationsa Okta-todennussivua."
Vaikutusten kohteena oli 114 yhdysvaltalaista yritystä ja lisäuhreja 68 muussa maassa.
Group-IB:n vanhempi uhkatiedustelun analyytikko Roberto Martinez sanoi, että hyökkäysten laajuus on edelleen tuntematon. "0ktapus-kampanja on ollut uskomattoman onnistunut, ja sen koko mittakaava ei ehkä ole tiedossa pitkään aikaan", hän sanoi.
Mitä 0ktapus-hakkerit halusivat
0ktapus-hyökkääjien uskotaan aloittaneen kampanjansa kohdistamalla televiestintäyrityksiin toivoen voittavan pääsyn mahdollisten kohteiden puhelinnumeroihin.
Vaikka emme ole varmoja tarkalleen, kuinka uhkatoimijat saivat luettelon MFA-hyökkäyksissä käytetyistä puhelinnumeroista, yksi tutkijoiden esittämä teoria on, että 0ktapus-hyökkääjät aloittivat kampanjansa televiestintäyrityksiin.
"[A]Group-IB:n analysoimien vaarantuneiden tietojen mukaan uhkatekijät aloittivat hyökkäyksensä kohdistamalla matkapuhelinoperaattoreihin ja televiestintäyrityksiin ja olisivat voineet kerätä numerot noista ensimmäisistä hyökkäyksistä", tutkijat kirjoittivat.
Seuraavaksi hyökkääjät lähettivät phishing-linkkejä kohteille tekstiviesteillä. Nämä linkit johtivat verkkosivuille, jotka matkivat kohteen työnantajan käyttämää Okta-todennussivua. Uhreja pyydettiin sitten toimittamaan Okta-identiteettitunnukset sen lisäksi, että työntekijät käyttivät kirjautumisensa turvaamiseen käyttämiä MFA-koodeja.
Mukana tekninen blogi, Group-IB:n tutkijat selittävät, että enimmäkseen ohjelmistoja palveluna toimivien yritysten alkuperäiset kompromissit olivat ensimmäinen vaihe monitahoisessa hyökkäyksessä. 0ktapusin perimmäisenä tavoitteena oli päästä yrityksen postituslistoihin tai asiakaskohtaisiin järjestelmiin toimitusketjun hyökkäysten helpottamiseksi.
Mahdollisessa asiaan liittyvässä tapahtumassa muutama tunti sen jälkeen, kun Group-IB julkaisi raporttinsa viime viikon lopulla, yritys DoorDash paljasti, että sen kohteena oli hyökkäys, jolla oli kaikki 0ktapus-tyylisen hyökkäyksen tunnusmerkit.
Räjähdyssäde: MFA-hyökkäykset
Jonkin sisällä blogi DoorDash paljastettiin; "luvaton osapuoli käytti myyjän työntekijöiden varastettuja valtuustietoja päästäkseen käsiksi joihinkin sisäisiin työkaluihimme." Viestin mukaan hyökkääjät varastivat henkilökohtaisia tietoja - mukaan lukien nimet, puhelinnumerot, sähköpostiosoitteet ja toimitusosoitteet - asiakkailta ja jakeluhenkilöiltä.
Kampanjansa aikana hyökkääjä vaaransi 5,441 XNUMX MFA-koodia, Group-IB raportoi.
"Turvatoimenpiteet, kuten MFA, voivat näyttää turvallisilta... mutta on selvää, että hyökkääjät voivat voittaa ne suhteellisen yksinkertaisilla työkaluilla", tutkijat kirjoittivat.
"Tämä on jälleen yksi tietojenkalasteluhyökkäys, joka osoittaa, kuinka helppoa vastustajien on ohittaa oletettavasti suojattu monitekijätodennus", KnowBe4:n tietoihin perustuva puolustusevankelista Roger Grimes kirjoitti lausunnossaan sähköpostitse. "Ei yksinkertaisesti ole hyödyllistä siirtää käyttäjiä helposti kalastettavissa olevista salasanoista helposti kalasteltaviin MFA:han. Se vaatii paljon kovaa työtä, resursseja, aikaa ja rahaa, ettei mitään hyötyä saa."
0ktapus-tyylisten kampanjoiden lieventämiseksi tutkijat suosittelivat hyvää hygieniaa URL-osoitteiden ja salasanojen suhteen sekä FIDO2-yhteensopivat suojausavaimet MFA:lle.
"Riippumatta siitä, mitä MFA:ta joku käyttää", Grimes neuvoi, "käyttäjälle tulisi opettaa yleisiä hyökkäyksiä, joita hänen MFA-muotoaan vastaan tehdään, kuinka tunnistaa nämä hyökkäykset ja miten niihin vastataan. Teemme samoin, kun käskemme käyttäjiä valitsemaan salasanat, mutta emme tee, kun käskemme heitä käyttämään oletettavasti turvallisempaa MFA:ta."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :on
- :On
- :ei
- 114
- 9
- a
- Meistä
- hyväksikäyttö
- pääsy
- käyttöoikeuksien hallinta
- Mukaan
- Tilit
- poikki
- toimijoiden
- Lisäksi
- lisä-
- osoitteet
- neuvoi
- vastaan
- Kaikki
- an
- analyytikko
- analysoidaan
- ja
- Toinen
- Kaikki
- näyttää
- OVAT
- noin
- AS
- At
- hyökkäys
- Hyökkäykset
- Authentication
- BE
- ollut
- alkoi
- alkaneet
- ovat
- uskoi
- hyödyttää
- mutta
- by
- Kampanja
- Kampanjat
- CAN
- selkeä
- CloudFlare
- koodit
- sitoutunut
- Yhteinen
- Yritykset
- yritys
- Vaarantunut
- voisi
- maahan
- kurssi
- Valtakirja
- Asiakkaat
- tiedot
- data-driven
- Puolustus
- toimitus
- do
- ei
- Dont
- DoorDash
- helposti
- helppo
- työntekijää
- Evankelista
- täsmälleen
- Selittää
- helpottaminen
- Yritys
- yritykset
- keskityttiin
- varten
- muoto
- alkaen
- koko
- Saada
- saadut
- saada
- tavoite
- hyvä
- Ryhmä
- hakkerit
- tunnusmerkkejä
- Kova
- kovaa työtä
- Olla
- he
- toivoo
- TUNTIA
- Miten
- Miten
- HTTPS
- Identiteetti
- identiteetin ja pääsyn hallinta
- in
- tapaus
- Mukaan lukien
- uskomattoman
- tiedot
- ensimmäinen
- Älykkyys
- sisäinen
- IT
- SEN
- jpg
- avaimet
- tunnettu
- Sukunimi
- Myöhään
- Led
- linkit
- Lista
- Listat
- kirjautumiset
- Erä
- postitus
- johto
- massiivinen
- Saattaa..
- toimenpiteet
- viestien
- UM
- lieventää
- Puhelinnumero
- raha
- lisää
- enimmäkseen
- liikkua
- monitekstinen todentaminen
- monitekijäinen todennus
- nimet
- Nro
- numerot
- saada
- saatu
- of
- OKTA
- on
- ONE
- operaattorit
- or
- organisaatio
- organisaatioiden
- meidän
- yli
- Voittaa
- yleiskatsaus
- sivulla
- puolue
- salasanat
- Ihmiset
- henkilöstö
- Phishing
- phishing-hyökkäys
- tietojenkalastelukampanja
- Tietojenkalastelusivustot
- puhelin
- poimia
- Platon
- Platonin tietotieto
- PlatonData
- mahdollinen
- Kirje
- mahdollinen
- ensisijainen
- Julkaiseminen
- sai
- äskettäinen
- tunnistaa
- suositeltu
- liittyvä
- suhteellisesti
- raportti
- raportoitu
- Tutkijat
- Esittelymateriaalit
- Vastata
- johtanut
- Revealed
- Said
- sama
- Asteikko
- laajuus
- turvallinen
- turvallisuus
- vanhempi
- lähetetty
- shouldnt
- näyttää
- Yksinkertainen
- yksinkertaisesti
- Sivustot
- jonkin verran
- Joku
- alkoi
- Lausunto
- Yhä
- varastettu
- antaa
- onnistunut
- niin
- järjestelmä
- järjestelmät
- kohdennettu
- kohdistaminen
- tavoitteet
- opettanut
- tietoliikenne
- kertoa
- teksti
- että
- -
- heidän
- Niitä
- sitten
- teoria
- ne
- uhkaus
- uhka toimijat
- uhkien tiedustelu
- tied
- aika
- että
- työkalut
- Twilio
- tyypit
- lopullinen
- tuntematon
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- myyjä
- kautta
- uhrit
- oli
- we
- viikko
- meni
- olivat
- kun
- joka
- voittaa
- with
- sisällä
- Referenssit
- kirjoitti
- vielä
- zephyrnet
