Meer dan 130 bedrijven verstrikt in een uitgebreide phishing-campagne die een multi-factor authenticatiesysteem vervalst.
Gerichte aanvallen op Twilio- en Cloudflare-medewerkers zijn gekoppeld aan een enorme phishing-campagne die ertoe heeft geleid dat 9,931 accounts bij meer dan 130 organisaties zijn gehackt. De campagnes zijn gekoppeld aan gericht misbruik van identiteit en toegangsbeheerbedrijf Okta, dat de dreigingsactoren de bijnaam 0ktapus heeft gekregen, door onderzoekers.
"Het primaire doel van de dreigingsactoren was om Okta-identiteitsreferenties en multi-factor authenticatie (MFA) codes te verkrijgen van gebruikers van de beoogde organisaties", schreven Group-IB-onderzoekers. in een recent rapport. "Deze gebruikers ontvingen sms-berichten met links naar phishing-sites die de Okta-authenticatiepagina van hun organisatie nabootsten."
Getroffen waren 114 in de VS gevestigde bedrijven, met extra slachtoffers van besprenkeling in 68 extra landen.
Roberto Martinez, senior threat intelligence analist bij Group-IB, zei dat de omvang van de aanvallen nog onbekend is. "De 0ktapus-campagne is ongelooflijk succesvol geweest en de volledige omvang ervan is misschien al een tijdje niet bekend", zei hij.
Wat de 0ktapus-hackers wilden
Aangenomen wordt dat de 0ktapus-aanvallers hun campagne zijn begonnen door zich op telecommunicatiebedrijven te richten in de hoop toegang te krijgen tot de telefoonnummers van potentiële doelwitten.
Hoewel ze niet precies weten hoe dreigingsactoren aan een lijst met telefoonnummers kwamen die werden gebruikt bij MFA-gerelateerde aanvallen, stellen onderzoekers dat de 0ktapus-aanvallers hun campagne begonnen om telecommunicatiebedrijven te targeten.
"Volgens de gecompromitteerde gegevens die door Group-IB zijn geanalyseerd, begonnen de bedreigingsactoren hun aanvallen door zich te richten op mobiele operators en telecommunicatiebedrijven en hadden ze de cijfers van die eerste aanvallen kunnen verzamelen", schreven onderzoekers.
Vervolgens stuurden aanvallers phishing-links naar doelen via sms-berichten. Die links leidden naar webpagina's die de Okta-authenticatiepagina nabootsten die door de werkgever van het doelwit werd gebruikt. Slachtoffers werd vervolgens gevraagd om Okta-identiteitsgegevens in te dienen naast een multi-factor authenticatie (MFA) -codes die werknemers gebruikten om hun logins te beveiligen.
In een begeleidende technische blog, leggen onderzoekers van Group-IB uit dat de aanvankelijke compromissen van voornamelijk software-as-a-service-bedrijven een fase één waren in een meervoudige aanval. Het uiteindelijke doel van 0ktapus was om toegang te krijgen tot bedrijfsmailinglijsten of klantgerichte systemen in de hoop aanvallen op de toeleveringsketen te vergemakkelijken.
In een mogelijk gerelateerd incident, binnen enkele uren nadat Group-IB haar rapport eind vorige week publiceerde, onthulde de firma DoorDash dat het het doelwit was van een aanval met alle kenmerken van een 0ktapus-achtige aanval.
Ontploffingsstraal: MFA-aanvallen
In een blogpost DoorDash onthuld; "ongeautoriseerde partij heeft de gestolen inloggegevens van leveranciersmedewerkers gebruikt om toegang te krijgen tot enkele van onze interne tools." De aanvallers, volgens de post, gingen verder met het stelen van persoonlijke informatie - inclusief namen, telefoonnummers, e-mailadressen en afleveradressen - van klanten en bezorgers.
In de loop van zijn campagne heeft de aanvaller 5,441 MFA-codes gecompromitteerd, meldde Group-IB.
"Beveiligingsmaatregelen zoals MFA kunnen veilig lijken... maar het is duidelijk dat aanvallers ze kunnen overwinnen met relatief eenvoudige tools", schreven onderzoekers.
"Dit is weer een phishing-aanval die laat zien hoe gemakkelijk het is voor kwaadwillenden om zogenaamd veilige multifactor-authenticatie te omzeilen", schreef Roger Grimes, datagedreven verdedigingsevangelist bij KnowBe4, in een verklaring via e-mail. “Het heeft gewoon geen zin om gebruikers te verplaatsen van wachtwoorden die gemakkelijk phish kunnen worden naar MFA die gemakkelijk phishing kunnen uitvoeren. Het is veel hard werken, middelen, tijd en geld om geen voordeel te krijgen.”
Om 0ktapus-achtige campagnes te verminderen, adviseerden de onderzoekers goede hygiëne rond URL's en wachtwoorden, en het gebruik van FIDO2-compatibele beveiligingssleutels voor MFA.
"Welke MFA iemand ook gebruikt," adviseerde Grimes, "de gebruiker moet worden onderwezen over de veelvoorkomende soorten aanvallen die worden gepleegd tegen hun vorm van MFA, hoe deze aanvallen te herkennen en hoe te reageren. We doen hetzelfde als we gebruikers vertellen wachtwoorden te kiezen, maar niet als we ze vertellen dat ze zogenaamd veiliger MFA moeten gebruiken.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- : heeft
- :is
- :niet
- 114
- 9
- a
- Over
- misbruik
- toegang
- toegangsbeheer
- Volgens
- accounts
- over
- actoren
- toevoeging
- Extra
- adressen
- adviseerde
- tegen
- Alles
- an
- analist
- geanalyseerd
- en
- Nog een
- elke
- verschijnen
- ZIJN
- rond
- AS
- At
- aanvallen
- Aanvallen
- authenticatie
- BE
- geweest
- begon
- begonnen
- wezen
- geloofde
- voordeel
- maar
- by
- Campagne
- Campagnes
- CAN
- duidelijk
- CloudFlare
- codes
- toegewijd
- Gemeen
- Bedrijven
- afstand
- Aangetast
- kon
- landen
- cursus
- Geloofsbrieven
- Klanten
- gegevens
- Gegevensgestuurde
- Verdediging
- levering
- do
- doet
- Dont
- DoorDash
- gemakkelijk
- En het is heel gemakkelijk
- medewerkers
- Evangelist
- precies
- Verklaren
- faciliterende
- Stevig
- bedrijven
- gericht
- Voor
- formulier
- oppompen van
- vol
- Krijgen
- opgedaan
- krijgen
- doel
- goed
- Groep
- Hackers
- kenmerken
- Hard
- hard werken
- Hebben
- he
- hoopt
- HOURS
- Hoe
- How To
- HTTPS
- Identiteit
- identiteits- en toegangsbeheer
- in
- incident
- Inclusief
- ongelooflijk
- informatie
- eerste
- Intelligentie
- intern
- IT
- HAAR
- jpg
- toetsen
- bekend
- Achternaam*
- Laat
- LED
- links
- Lijst
- lijsten
- logins
- lot
- mailing
- management
- massief
- Mei..
- maatregelen
- berichten
- MFA
- Verzachten
- Mobile
- geld
- meer
- meestal
- beweging
- multi-factor authenticatie
- multifactor authenticatie
- namen
- geen
- nummers
- verkrijgen
- verkregen
- of
- OCTA
- on
- EEN
- exploitanten
- or
- organisatie
- organisaties
- onze
- over
- Overwinnen
- overzicht
- pagina
- feest
- wachtwoorden
- Mensen
- persoonlijk
- Phishing
- phishing-aanval
- phishing-campagne
- Phishing-sites
- phone
- kiezen
- Plato
- Plato gegevensintelligentie
- PlatoData
- mogelijk
- Post
- potentieel
- primair
- Reclame
- ontvangen
- recent
- herkennen
- aanbevolen
- verwant
- relatief
- verslag
- gemeld
- onderzoekers
- Resources
- Reageren
- resulteerde
- Revealed
- Zei
- dezelfde
- Scale
- omvang
- beveiligen
- veiligheid
- senior
- verzonden
- moet
- tonen
- Eenvoudig
- eenvoudigweg
- Locaties
- sommige
- Iemand
- gestart
- Statement
- Still
- gestolen
- voorleggen
- geslaagd
- dergelijk
- system
- Systems
- doelgerichte
- targeting
- doelen
- onderwezen
- telecommunicatie
- vertellen
- tekst
- dat
- De
- hun
- Ze
- harte
- theorie
- die
- bedreiging
- bedreigingsactoren
- bedreigingsintelligentie
- Gebonden
- niet de tijd of
- naar
- tools
- Twilio
- types
- ultieme
- onbekend
- .
- gebruikt
- Gebruiker
- gebruikers
- toepassingen
- gebruik
- verkoper
- via
- slachtoffers
- was
- we
- week
- gegaan
- waren
- wanneer
- welke
- het winnen van
- Met
- binnen
- Mijn werk
- schreef
- nog
- zephyrnet
