Les tentacules du groupe de menaces '0ktapus' victimisent 130 entreprises

Les attaques ciblées contre les employés de Twilio et Cloudflare sont liées à une campagne de phishing massive qui a compromis 9,931 130 comptes dans plus de 0 organisations. Les campagnes sont liées à l'abus ciblé de la société de gestion d'identité et d'accès Okta, qui a valu aux acteurs de la menace le surnom d'XNUMXktapus, par des chercheurs.

"L'objectif principal des acteurs de la menace était d'obtenir les informations d'identification d'Okta et les codes d'authentification multi-facteurs (MFA) des utilisateurs des organisations ciblées", ont écrit les chercheurs du Group-IB. dans un récent rapport. "Ces utilisateurs ont reçu des SMS contenant des liens vers des sites de phishing qui imitaient la page d'authentification Okta de leur organisation."

114 entreprises basées aux États-Unis ont été touchées, avec d'autres victimes réparties dans 68 pays supplémentaires.

Roberto Martinez, analyste principal du renseignement sur les menaces chez Group-IB, a déclaré que la portée des attaques était encore inconnue. "La campagne 0ktapus a été un succès incroyable, et son ampleur pourrait ne pas être connue avant un certain temps", a-t-il déclaré.

Ce que les hackers 0ktapus voulaient

Les attaquants d'Oktapus auraient commencé leur campagne en ciblant les entreprises de télécommunications dans l'espoir d'accéder aux numéros de téléphone des cibles potentielles.

Bien qu'ils ne sachent pas exactement comment les acteurs de la menace ont obtenu une liste de numéros de téléphone utilisés dans les attaques liées à la MFA, les chercheurs avancent une théorie selon laquelle les attaquants 0ktapus ont commencé leur campagne ciblant les entreprises de télécommunications.

"[Selon les données compromises analysées par Group-IB, les acteurs de la menace ont commencé leurs attaques en ciblant les opérateurs mobiles et les entreprises de télécommunications et auraient pu collecter les chiffres de ces attaques initiales", ont écrit les chercheurs.

Ensuite, les attaquants ont envoyé des liens de phishing aux cibles via des messages texte. Ces liens menaient à des pages Web imitant la page d'authentification Okta utilisée par l'employeur de la cible. Les victimes ont ensuite été invitées à soumettre des informations d'identification Okta en plus des codes d'authentification multi-facteurs (MFA) utilisés par les employés pour sécuriser leurs connexions.

Dans un accompagnement blog technique, les chercheurs de Group-IB expliquent que les compromis initiaux de la plupart des entreprises de logiciels en tant que service étaient la première phase d'une attaque à plusieurs volets. L'objectif ultime d'0ktapus était d'accéder aux listes de diffusion de l'entreprise ou aux systèmes en contact avec les clients dans l'espoir de faciliter les attaques de la chaîne d'approvisionnement.

Dans un possible incident connexe, quelques heures après la publication par Group-IB de son rapport à la fin de la semaine dernière, la société DoorDash a révélé qu'elle avait été ciblée dans une attaque présentant toutes les caractéristiques d'une attaque de type 0ktapus.

Rayon d'explosion : Attaques MFA

Dans un blog récents DoorDash révélé; "Une partie non autorisée a utilisé les informations d'identification volées des employés du fournisseur pour accéder à certains de nos outils internes." Les attaquants, selon le message, ont ensuite volé des informations personnelles – notamment des noms, des numéros de téléphone, des adresses e-mail et de livraison – auprès de clients et de livreurs.

Au cours de sa campagne, l'attaquant a compromis 5,441 XNUMX codes MFA, a rapporté Group-IB.

"Les mesures de sécurité telles que la MFA peuvent sembler sûres... mais il est clair que les attaquants peuvent les contourner avec des outils relativement simples", ont écrit les chercheurs.

"Il s'agit d'une nouvelle attaque de phishing montrant à quel point il est facile pour les adversaires de contourner l'authentification multifacteur prétendument sécurisée", a écrit Roger Grimes, évangéliste de la défense basée sur les données chez KnowBe4, dans un communiqué par e-mail. « Cela ne sert tout simplement à rien de faire passer les utilisateurs de mots de passe facilement hameçonnables à des MFA facilement hameçonnables. C'est beaucoup de travail acharné, de ressources, de temps et d'argent, sans en retirer aucun avantage.

Pour atténuer les campagnes de type 0ktapus, les chercheurs ont recommandé une bonne hygiène autour des URL et des mots de passe, et l'utilisation FIDO2-clés de sécurité conformes pour MFA.

"Quelle que soit l'authentification MFA utilisée par quelqu'un", a conseillé Grimes, "l'utilisateur doit être informé des types d'attaques courants commis contre sa forme d'authentification MFA, de la manière de reconnaître ces attaques et de la manière d'y répondre. Nous faisons de même lorsque nous disons aux utilisateurs de choisir des mots de passe, mais pas lorsque nous leur disons d'utiliser une MFA supposée plus sécurisée.