Lebih dari 130 perusahaan terjerat dalam kampanye phishing yang luas yang memalsukan sistem otentikasi multi-faktor.
Serangan yang ditargetkan pada karyawan Twilio dan Cloudflare terkait dengan kampanye phishing besar-besaran yang mengakibatkan 9,931 akun di lebih dari 130 organisasi disusupi. Kampanye tersebut terkait dengan penyalahgunaan identitas dan akses perusahaan manajemen Okta, yang mendapatkan pelaku ancaman dengan julukan 0ktapus, oleh para peneliti.
“Tujuan utama dari pelaku ancaman adalah untuk mendapatkan kredensial identitas Okta dan kode otentikasi multi-faktor (MFA) dari pengguna organisasi yang ditargetkan,” tulis peneliti Group-IB dalam laporan terbaru. “Pengguna ini menerima pesan teks yang berisi tautan ke situs phishing yang meniru halaman otentikasi Okta dari organisasi mereka.”
Terkena dampak adalah 114 perusahaan yang berbasis di AS, dengan korban tambahan tersebar di 68 negara tambahan.
Roberto Martinez, analis intelijen ancaman senior di Group-IB, mengatakan cakupan serangan masih belum diketahui. “Kampanye 0ktapus sangat sukses, dan skala penuhnya mungkin tidak diketahui untuk beberapa waktu,” katanya.
Apa yang Diinginkan Peretas 0ktapus
Penyerang 0ktapus diyakini telah memulai kampanye mereka dengan menargetkan perusahaan telekomunikasi dengan harapan memenangkan akses ke nomor telepon target potensial.
Meskipun tidak yakin dengan pasti bagaimana pelaku ancaman memperoleh daftar nomor telepon yang digunakan dalam serangan terkait MFA, satu teori yang dikemukakan peneliti adalah bahwa penyerang 0ktapus memulai kampanye mereka dengan menargetkan perusahaan telekomunikasi.
“[A]menurut data yang dikompromikan yang dianalisis oleh Group-IB, pelaku ancaman memulai serangan mereka dengan menargetkan operator seluler dan perusahaan telekomunikasi dan dapat mengumpulkan angka dari serangan awal tersebut,” tulis para peneliti.
Selanjutnya, penyerang mengirim tautan phishing ke target melalui pesan teks. Tautan tersebut mengarah ke halaman web yang meniru halaman otentikasi Okta yang digunakan oleh perusahaan target. Korban kemudian diminta untuk menyerahkan kredensial identitas Okta di samping kode otentikasi multi-faktor (MFA) yang digunakan karyawan untuk mengamankan login mereka.
Dalam sebuah pendamping blog teknis, para peneliti di Group-IB menjelaskan bahwa kompromi awal sebagian besar perusahaan perangkat lunak sebagai layanan adalah fase pertama dalam serangan multi-cabang. Tujuan utama 0ktapus adalah untuk mengakses milis perusahaan atau sistem yang dihadapi pelanggan dengan harapan dapat memfasilitasi serangan rantai pasokan.
Dalam insiden terkait yang mungkin terjadi, dalam beberapa jam setelah Group-IB menerbitkan laporannya akhir pekan lalu, perusahaan DoorDash mengungkapkan bahwa mereka menjadi sasaran serangan dengan semua ciri serangan gaya 0ktapus.
Radius Ledakan: Serangan MFA
Di sebuah posting blog DoorDash mengungkapkan; “pihak yang tidak berwenang menggunakan kredensial karyawan vendor yang dicuri untuk mendapatkan akses ke beberapa alat internal kami.” Para penyerang, menurut postingan tersebut, terus mencuri informasi pribadi – termasuk nama, nomor telepon, email dan alamat pengiriman – dari pelanggan dan petugas pengiriman.
Dalam perjalanan kampanyenya, penyerang mengkompromikan 5,441 kode MFA, Group-IB melaporkan.
“Langkah-langkah keamanan seperti MFA dapat terlihat aman… tetapi jelas bahwa penyerang dapat mengatasinya dengan alat yang relatif sederhana,” tulis para peneliti.
“Ini adalah serangan phishing lain yang menunjukkan betapa mudahnya bagi musuh untuk melewati otentikasi multifaktor yang seharusnya aman,” Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, menulis dalam sebuah pernyataan melalui email. “Tidak ada gunanya memindahkan pengguna dari kata sandi yang mudah phishing ke MFA yang mudah phishing. Banyak kerja keras, sumber daya, waktu, dan uang, bukan untuk mendapatkan manfaat apa pun.”
Untuk mengurangi kampanye gaya 0ktapus, para peneliti merekomendasikan kebersihan yang baik di sekitar URL dan kata sandi, dan menggunakan FIDO2-kunci keamanan yang sesuai untuk MFA.
“Apa pun MFA yang digunakan seseorang,” saran Grimes, “pengguna harus diajari tentang jenis serangan umum yang dilakukan terhadap bentuk MFA mereka, cara mengenali serangan itu, dan cara merespons. Kami melakukan hal yang sama ketika kami memberi tahu pengguna untuk memilih kata sandi tetapi tidak ketika kami memberi tahu mereka untuk menggunakan MFA yang seharusnya lebih aman.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :memiliki
- :adalah
- :bukan
- 114
- 9
- a
- Tentang Kami
- penyalahgunaan
- mengakses
- manajemen akses
- Menurut
- Akun
- di seluruh
- aktor
- tambahan
- Tambahan
- alamat
- disarankan
- terhadap
- Semua
- an
- analis
- dianalisis
- dan
- Lain
- Apa pun
- muncul
- ADALAH
- sekitar
- AS
- At
- menyerang
- Serangan
- Otentikasi
- BE
- menjadi
- mulai
- dimulai
- makhluk
- diyakini
- manfaat
- tapi
- by
- Kampanye
- Kampanye
- CAN
- jelas
- CloudFlare
- Kode
- berkomitmen
- Umum
- Perusahaan
- perusahaan
- Dikompromikan
- bisa
- negara
- Tentu saja
- Surat kepercayaan
- pelanggan
- data
- Data-driven
- Pertahanan
- pengiriman
- do
- tidak
- Dont
- DoorDash
- mudah
- Mudah
- karyawan
- Pengabar Injil
- persis
- Menjelaskan
- memfasilitasi
- Perusahaan
- perusahaan
- terfokus
- Untuk
- bentuk
- dari
- penuh
- Mendapatkan
- diperoleh
- mendapatkan
- tujuan
- baik
- Kelompok
- hacker
- keunggulan
- Sulit
- kerja keras
- Memiliki
- he
- berharap
- JAM
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- identitas
- identitas dan manajemen akses
- in
- insiden
- Termasuk
- luar biasa
- informasi
- mulanya
- Intelijen
- intern
- IT
- NYA
- jpg
- kunci-kunci
- dikenal
- Terakhir
- Terlambat
- Dipimpin
- link
- Daftar
- daftar
- login
- Lot
- mailing
- pengelolaan
- besar-besaran
- Mungkin..
- ukuran
- pesan
- MFA
- Mengurangi
- mobil
- uang
- lebih
- kebanyakan
- pindah
- otentikasi multi-faktor
- otentikasi multifaktor
- nama
- tidak
- nomor
- memperoleh
- diperoleh
- of
- Oke
- on
- ONE
- operator
- or
- organisasi
- organisasi
- kami
- lebih
- Mengatasi
- ikhtisar
- halaman
- pihak
- password
- Konsultan Ahli
- pribadi
- Phishing
- serangan phishing
- kampanye phishing
- Situs Phishing
- telepon
- memilih
- plato
- Kecerdasan Data Plato
- Data Plato
- mungkin
- Pos
- potensi
- primer
- Penerbitan
- diterima
- baru
- mengenali
- direkomendasikan
- terkait
- relatif
- melaporkan
- Dilaporkan
- peneliti
- Sumber
- Menanggapi
- mengakibatkan
- Terungkap
- Tersebut
- sama
- Skala
- cakupan
- aman
- keamanan
- senior
- mengirim
- harus
- menunjukkan
- Sederhana
- hanya
- Situs
- beberapa
- Seseorang
- mulai
- Pernyataan
- Masih
- dicuri
- menyerahkan
- sukses
- seperti itu
- sistem
- sistem
- ditargetkan
- penargetan
- target
- diajarkan
- telekomunikasi
- mengatakan
- teks
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- teori
- itu
- ancaman
- aktor ancaman
- intelijen ancaman
- Terjalin
- waktu
- untuk
- alat
- Twilio
- jenis
- terakhir
- tidak dikenal
- menggunakan
- bekas
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- penjaja
- melalui
- korban
- adalah
- we
- minggu
- pergi
- adalah
- ketika
- yang
- kemenangan
- dengan
- dalam
- Kerja
- menulis
- namun
- zephyrnet.dll
