Tentakler fra '0ktapus' trusselgruppe gjør 130 firmaer ofre

Målrettede angrep på Twilio- og Cloudflare-ansatte er knyttet til en massiv phishing-kampanje som resulterte i at 9,931 130 kontoer hos over 0 organisasjoner ble kompromittert. Kampanjene er knyttet til fokusert misbruk av identitets- og tilgangsadministrasjonsfirmaet Okta, som fikk trusselaktørene XNUMXktapus-navnet, av forskere.

"Det primære målet til trusselaktørene var å skaffe Okta-identitetslegitimasjon og multifaktorautentisering (MFA) koder fra brukere av de målrettede organisasjonene," skrev Group-IB-forskere i en fersk rapport. "Disse brukerne mottok tekstmeldinger som inneholdt lenker til phishing-nettsteder som etterlignet Okta-autentiseringssiden til organisasjonen deres."

Berørt ble 114 USA-baserte firmaer, med flere ofre spredt over 68 andre land.

Roberto Martinez, senior trusseletterretningsanalytiker ved Group-IB, sa at omfanget av angrepene fortsatt er ukjent. "0ktapus-kampanjen har vært utrolig vellykket, og hele omfanget av den er kanskje ikke kjent på en stund," sa han.

Hva 0ktapus-hackerne ville ha

0ktapus-angriperne antas å ha startet kampanjen sin ved å målrette mot telekommunikasjonsselskaper i håp om å vinne tilgang til potensielle måls telefonnumre.

Selv om de er usikre på nøyaktig hvordan trusselaktører fikk tak i en liste over telefonnumre som ble brukt i MFA-relaterte angrep, er en teori forskere hevder at 0ktapus-angripere begynte sin kampanje rettet mot telekommunikasjonsselskaper.

"[A]ifølge de kompromitterte dataene analysert av Group-IB, startet trusselaktørene sine angrep ved å målrette mot mobiloperatører og telekommunikasjonsselskaper og kunne ha samlet inn tallene fra de første angrepene," skrev forskere.

Deretter sendte angripere phishing-lenker til mål via tekstmeldinger. Disse koblingene førte til nettsider som etterlignet Okta-autentiseringssiden brukt av målets arbeidsgiver. Ofrene ble deretter bedt om å sende inn Okta-identitetslegitimasjon i tillegg til en multifaktorautentisering (MFA)-koder ansatte brukte for å sikre påloggingene sine.

I en medfølgende teknisk blogg, forklarer forskere ved Group-IB at de første kompromissene til for det meste programvare-som-en-tjeneste-firmaer var en fase én i et flerstrenget angrep. 0ktapus' endelige mål var å få tilgang til firmaets e-postlister eller kundevendte systemer i håp om å lette forsyningskjedeangrep.

I en mulig relatert hendelse, i løpet av timer etter at Group-IB publiserte rapporten sin sent i forrige uke, avslørte firmaet DoorDash at det var målrettet i et angrep med alle kjennetegnene til et angrep i 0ktapus-stil.

Blast Radius: MFA-angrep

I en blogginnlegg DoorDash avslørte; «uautorisert part brukte den stjålne legitimasjonen til leverandøransatte for å få tilgang til noen av våre interne verktøy.» Angriperne, ifølge innlegget, fortsatte med å stjele personlig informasjon – inkludert navn, telefonnumre, e-post og leveringsadresser – fra kunder og leveringsfolk.

I løpet av kampanjen kompromitterte angriperen 5,441 MFA-koder, rapporterte Group-IB.

"Sikkerhetstiltak som MFA kan virke sikre ... men det er klart at angripere kan overvinne dem med relativt enkle verktøy," skrev forskere.

"Dette er nok et phishing-angrep som viser hvor enkelt det er for motstandere å omgå antatt sikker multifaktorautentisering," skrev Roger Grimes, datadrevet forsvarsevangelist ved KnowBe4, i en uttalelse via e-post. «Det nytter rett og slett ikke å flytte brukere fra passord som er phish-vennlige, til MFA som er phish-vennlige. Det er mye hardt arbeid, ressurser, tid og penger, for ikke å få noen fordel.»

For å redusere kampanjer i 0ktapus-stil, anbefalte forskerne god hygiene rundt nettadresser og passord, og bruk av FIDO2-kompatible sikkerhetsnøkler for MFA.

"Uansett hvilken MFA noen bruker," sa Grimes, "bør brukeren læres om de vanlige typene angrep som blir begått mot deres form for MFA, hvordan man gjenkjenner disse angrepene og hvordan de skal reagere. Vi gjør det samme når vi ber brukere velge passord, men ikke når vi ber dem bruke antatt sikrere MFA.»