'0ktapus' थ्रेट ग्रुप के जाल 130 फर्मों का शिकार

Twilio और Cloudflare कर्मचारियों पर लक्षित हमले बड़े पैमाने पर फ़िशिंग अभियान से जुड़े हैं, जिसके परिणामस्वरूप 9,931 से अधिक संगठनों के 130 खातों से समझौता किया गया। अभियान पहचान और पहुंच प्रबंधन फर्म ओक्टा के केंद्रित दुरुपयोग से बंधे हैं, जिसने शोधकर्ताओं द्वारा खतरे वाले अभिनेताओं को 0ktapus moniker प्राप्त किया।

ग्रुप-आईबी के शोधकर्ताओं ने लिखा, "खतरे करने वालों का प्राथमिक लक्ष्य लक्षित संगठनों के उपयोगकर्ताओं से ओक्टा पहचान प्रमाण-पत्र और बहु-कारक प्रमाणीकरण (एमएफए) कोड प्राप्त करना था।" एक हालिया रिपोर्ट में. "इन उपयोगकर्ताओं को फ़िशिंग साइटों के लिंक वाले टेक्स्ट संदेश प्राप्त हुए जो उनके संगठन के ओक्टा प्रमाणीकरण पृष्ठ की नकल करते थे।"

114 अतिरिक्त देशों में छिड़काव के अतिरिक्त शिकार के साथ 68 यूएस-आधारित फर्म प्रभावित हुईं।

ग्रुप-आईबी के वरिष्ठ खतरे के खुफिया विश्लेषक रॉबर्टो मार्टिनेज ने कहा कि हमलों का दायरा अभी भी अज्ञात है। "0ktapus अभियान अविश्वसनीय रूप से सफल रहा है, और इसके पूर्ण पैमाने को कुछ समय के लिए ज्ञात नहीं किया जा सकता है," उन्होंने कहा।

0ktapus हैकर्स क्या चाहते थे

माना जाता है कि 0ktapus हमलावरों ने संभावित लक्ष्यों के फोन नंबरों तक पहुंच जीतने की उम्मीद में दूरसंचार कंपनियों को लक्षित करके अपना अभियान शुरू किया है।

हालांकि यह सुनिश्चित नहीं है कि एमएफए से संबंधित हमलों में इस्तेमाल किए गए फोन नंबरों की सूची कैसे खतरे में डाल दी गई है, एक सिद्धांत शोधकर्ताओं का मानना ​​​​है कि 0ktapus हमलावरों ने दूरसंचार कंपनियों को लक्षित करते हुए अपना अभियान शुरू किया।

"[ए] ग्रुप-आईबी द्वारा विश्लेषण किए गए समझौता किए गए डेटा के अनुसार, खतरे के अभिनेताओं ने मोबाइल ऑपरेटरों और दूरसंचार कंपनियों को लक्षित करके अपने हमले शुरू किए और उन शुरुआती हमलों से संख्या एकत्र कर सकते थे," शोधकर्ताओं ने लिखा।

इसके बाद, हमलावरों ने टेक्स्ट संदेशों के माध्यम से लक्ष्य को फ़िशिंग लिंक भेजे। वे लिंक लक्ष्य के नियोक्ता द्वारा उपयोग किए गए ओक्टा प्रमाणीकरण पृष्ठ की नकल करने वाले वेबपृष्ठों की ओर ले गए। पीड़ितों को तब एक मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) कोड के अलावा ओक्टा आइडेंटिटी क्रेडेंशियल्स जमा करने के लिए कहा गया था, जिसका इस्तेमाल कर्मचारी अपने लॉगिन को सुरक्षित करने के लिए करते थे।

एक साथ में तकनीकी ब्लॉग, ग्रुप-आईबी के शोधकर्ता बताते हैं कि ज्यादातर सॉफ्टवेयर-ए-ए-सर्विस फर्मों के शुरुआती समझौते बहु-आयामी हमले में चरण-एक थे। 0ktapus का अंतिम लक्ष्य आपूर्ति-श्रृंखला हमलों को सुविधाजनक बनाने की उम्मीद में कंपनी मेलिंग सूचियों या ग्राहक-सामना करने वाली प्रणालियों तक पहुंच बनाना था।

एक संभावित संबंधित घटना में, ग्रुप-आईबी द्वारा पिछले सप्ताह के अंत में अपनी रिपोर्ट प्रकाशित करने के कुछ घंटों के भीतर, फर्म डोरडैश ने खुलासा किया कि इसे 0ktapus-शैली के हमले के सभी हॉलमार्क के साथ एक हमले में लक्षित किया गया था।

ब्लास्ट रेडियस: एमएफए अटैक्स

में ब्लॉग पोस्ट डोरडैश ने खुलासा किया; "अनधिकृत पार्टी ने हमारे कुछ आंतरिक उपकरणों तक पहुंच प्राप्त करने के लिए विक्रेता कर्मचारियों की चोरी की साख का उपयोग किया।" पोस्ट के अनुसार, हमलावरों ने ग्राहकों और डिलीवरी करने वाले लोगों से नाम, फोन नंबर, ईमेल और डिलीवरी पते सहित व्यक्तिगत जानकारी चुरा ली।

अपने अभियान के दौरान, हमलावर ने 5,441 एमएफए कोड से समझौता किया, ग्रुप-आईबी ने बताया।

"एमएफए जैसे सुरक्षा उपाय सुरक्षित दिखाई दे सकते हैं ... लेकिन यह स्पष्ट है कि हमलावर अपेक्षाकृत सरल उपकरणों के साथ उन्हें दूर कर सकते हैं," शोधकर्ताओं ने लिखा।

KnowBe4 के डेटा-संचालित रक्षा प्रचारक रोजर ग्रिम्स ने ईमेल के माध्यम से एक बयान में लिखा, "यह अभी तक एक और फ़िशिंग हमला है, जो दर्शाता है कि विरोधियों के लिए सुरक्षित मल्टीफ़ैक्टर प्रमाणीकरण को बायपास करना कितना आसान है।" "उपयोगकर्ताओं को आसानी से फ़िश-सक्षम पासवर्ड से आसानी से फ़िश-सक्षम एमएफए में स्थानांतरित करना अच्छा नहीं है। यह बहुत मेहनत, संसाधन, समय और पैसा है, कोई लाभ पाने के लिए नहीं।"

0ktapus- शैली के अभियानों को कम करने के लिए, शोधकर्ताओं ने URL और पासवर्ड के आसपास अच्छी स्वच्छता की सिफारिश की, और इसका उपयोग किया FIDO2- एमएफए के लिए अनुपालन सुरक्षा कुंजी।

ग्रिम्स ने सलाह दी, "जो कुछ भी एमएफए का उपयोग करता है," उपयोगकर्ता को उन सामान्य प्रकार के हमलों के बारे में सिखाया जाना चाहिए जो एमएफए के अपने रूप के खिलाफ किए जाते हैं, उन हमलों को कैसे पहचानें, और कैसे प्रतिक्रिया दें। हम ऐसा ही करते हैं जब हम उपयोगकर्ताओं को पासवर्ड चुनने के लिए कहते हैं, लेकिन ऐसा नहीं करते हैं जब हम उन्हें अधिक सुरक्षित एमएफए का उपयोग करने के लिए कहते हैं।"