130개 이상의 회사가 다단계 인증 시스템을 스푸핑하는 대규모 피싱 캠페인에 얽혀 있습니다.
Twilio 및 Cloudflare 직원에 대한 표적 공격은 9,931개 이상의 조직에서 130개 계정이 손상되는 대규모 피싱 캠페인과 연결되어 있습니다. 이 캠페인은 연구원들이 위협 행위자에게 0ktapus라는 별명을 붙인 신원 및 액세스 관리 회사 Okta의 집중적인 남용과 관련이 있습니다.
Group-IB 연구원은 "공격자의 주요 목표는 표적 조직의 사용자로부터 Okta ID 자격 증명 및 MFA(다단계 인증) 코드를 얻는 것이었습니다"라고 썼습니다. 최근 보고서에서. "이 사용자들은 조직의 Okta 인증 페이지를 모방한 피싱 사이트 링크가 포함된 문자 메시지를 받았습니다."
영향을 받은 것은 114개의 미국 기반 회사였으며 68개국에 추가로 피해를 입었습니다.
Group-IB의 수석 위협 인텔리전스 분석가인 Roberto Martinez는 공격 범위가 아직 알려지지 않았다고 말했습니다. "0ktapus 캠페인은 엄청나게 성공적이었고, 그 전체 규모는 한동안 알려지지 않을 수 있습니다."라고 그는 말했습니다.
0ktapus 해커가 원하는 것
0ktapus 공격자는 잠재적인 대상의 전화번호에 대한 액세스 권한을 얻기 위해 통신 회사를 대상으로 캠페인을 시작한 것으로 보입니다.
공격자가 MFA 관련 공격에 사용된 전화번호 목록을 어떻게 얻었는지 정확히 확신할 수 없지만 한 이론 연구원은 0ktapus 공격자가 통신 회사를 대상으로 캠페인을 시작했다고 가정합니다.
연구원들은 “Group-IB가 분석한 손상된 데이터에 따르면 공격자들은 이동통신사와 통신 회사를 대상으로 공격을 시작했으며 이러한 초기 공격에서 숫자를 수집했을 수 있습니다.”라고 썼습니다.
다음으로 공격자는 문자 메시지를 통해 대상에 피싱 링크를 보냈습니다. 이러한 링크는 대상의 고용주가 사용하는 Okta 인증 페이지를 모방한 웹페이지로 연결되었습니다. 그런 다음 피해자는 직원이 로그인을 보호하는 데 사용하는 MFA(다단계 인증) 코드와 함께 Okta ID 자격 증명을 제출하라는 요청을 받았습니다.
동반 기술 블로그, Group-IB의 연구원들은 대부분 SaaS(software-as-a-service) 회사의 초기 손상이 다각적 공격의 0단계라고 설명합니다. XNUMXktapus의 궁극적인 목표는 공급망 공격을 촉진하기 위해 회사 메일링 리스트 또는 고객 대면 시스템에 액세스하는 것이었습니다.
관련 사건에서 Group-IB가 지난주 말에 보고서를 발표한 지 몇 시간 만에 회사 DoorDash는 0ktapus 스타일 공격의 모든 특징을 가진 공격의 대상이 되었음을 밝혔습니다.
폭발 반경: MFA 공격
안에 블로그 게시물 DoorDash 공개; "승인되지 않은 당사자가 공급업체 직원의 훔친 자격 증명을 사용하여 일부 내부 도구에 액세스했습니다." 게시물에 따르면 공격자들은 계속해서 고객과 배달원의 이름, 전화번호, 이메일, 배달 주소 등의 개인 정보를 훔쳤다.
공격자는 캠페인 과정에서 5,441개의 MFA 코드를 손상시켰다고 Group-IB는 보고했습니다.
연구원들은 "MFA와 같은 보안 조치는 안전한 것처럼 보일 수 있지만 공격자가 비교적 간단한 도구로 이를 극복할 수 있다는 것은 분명합니다."라고 썼습니다.
노비4(KnowBeXNUMX)의 데이터 기반 방어 전도사인 로저 그라임스(Roger Grimes)는 이메일 성명을 통해 "이는 공격자가 보안 다단계 인증을 우회하는 것이 얼마나 쉬운지를 보여주는 또 다른 피싱 공격"이라고 말했다. “사용자를 쉽게 피싱할 수 있는 암호에서 쉽게 피싱할 수 있는 MFA로 이동하는 것은 아무 소용이 없습니다. 어떤 이익도 얻지 못하는 것은 많은 노력, 자원, 시간 및 돈입니다.”
0ktapus 스타일의 캠페인을 완화하기 위해 연구원들은 URL과 비밀번호에 대한 철저한 위생을 권장하고 FIDO2- MFA에 대한 호환 보안 키.
Grimes는 "누군가가 어떤 MFA를 사용하든 사용자는 MFA 형식에 대해 저지르는 일반적인 유형의 공격, 이러한 공격을 인식하는 방법 및 대응하는 방법에 대해 가르쳐야 합니다. 우리는 사용자에게 암호를 선택하라고 말할 때도 동일한 작업을 수행하지만 더 안전한 MFA를 사용하도록 지시할 때는 그렇지 않습니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :있다
- :이다
- :아니
- 114
- 9
- a
- 소개
- 남용
- ACCESS
- 액세스 관리
- 에 따르면
- 계정
- 가로질러
- 배우
- 또한
- 추가
- 구애
- 조언받은
- 반대
- All
- an
- 분석자
- 분석
- 및
- 다른
- 어떤
- 표시
- 있군요
- 약
- AS
- At
- 공격
- 공격
- 인증
- BE
- 된
- 시작
- 시작된
- 존재
- 믿고
- 이익
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 운동
- 캠페인
- CAN
- 선명한
- CloudFlare
- 코드
- 저지른
- 공통의
- 기업
- 회사
- 손상된
- 수
- 국가
- 코스
- 신임장
- 고객
- 데이터
- 데이터 중심
- 방위산업
- 배달
- do
- 하지
- 말라
- 문틀
- 용이하게
- 쉽게
- 이메일
- 직원
- 복음 전도자
- 정확하게
- 설명
- 촉진
- 굳은
- 기업
- 집중
- 럭셔리
- 형태
- 에
- 가득 찬
- 이득
- 획득
- 얻을
- 골
- 좋은
- 그룹
- 해커
- 특징
- 하드
- 노력
- 있다
- he
- 희망
- 진료 시간
- 방법
- How To
- HTTPS
- 통합 인증
- 신원 및 액세스 관리
- in
- 사건
- 포함
- 엄청나게
- 정보
- 처음에는
- 인텔리전스
- 내부의
- IT
- 그
- JPG
- 키
- 알려진
- 성
- 늦은
- 지도
- 모래밭
- 명부
- 기울기
- 로그인
- 롯
- 메일 링
- 구축
- 거대한
- XNUMX월..
- 조치들
- 메시지
- MFA
- 완화
- 모바일
- 돈
- 배우기
- 대개
- 움직임
- 다중 요소 인증
- 다단계 인증
- 이름
- 아니
- 숫자
- 획득
- 획득
- of
- 옥타
- on
- ONE
- 운영자
- or
- 조직
- 조직
- 우리의
- 위에
- 극복하다
- 개요
- 페이지
- 파티
- 암호
- 사람들
- 확인
- 피싱
- 피싱 공격
- 피싱 캠페인
- 피싱 사이트
- 전화
- 선택
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 가능한
- 게시하다
- 가능성
- 일차
- 출판
- 접수
- 최근
- 인식
- 추천
- 관련
- 상대적으로
- 신고
- 보고
- 연구원
- 제품 자료
- 응답
- 결과
- 공개
- 말했다
- 같은
- 규모
- 범위
- 안전해야합니다.
- 보안
- 연장자
- 전송
- 영상을
- 보여주는
- 단순, 간단, 편리
- 간단히
- 사이트
- 일부
- 어떤 사람
- 시작
- 성명서
- 아직도
- 훔친
- 제출
- 성공한
- 이러한
- 체계
- 시스템은
- 대상
- 대상
- 목표
- 가르쳤다
- 통신
- 이야기
- 본문
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그때
- 이론
- 그
- 위협
- 위협 행위자
- 위협 정보
- 묶여
- 시간
- 에
- 검색을
- Twilio
- 유형
- 궁극의
- 알 수없는
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 사용
- 공급 업체
- 를 통해
- 피해자
- 였다
- we
- 주
- 갔다
- 했다
- 언제
- 어느
- 승리
- 과
- 이내
- 작업
- 쓴
- 아직
- 제퍼 넷
