Ponad 130 firm wplątało się w rozległą kampanię phishingową, która sfałszowała wieloskładnikowy system uwierzytelniania.
Ukierunkowane ataki na pracowników Twilio i Cloudflare są powiązane z masową kampanią phishingową, w wyniku której włamano się na 9,931 kont w ponad 130 organizacjach. Kampanie są powiązane z ukierunkowanym nadużywaniem tożsamości i zarządzania dostępem, firmy Okta, która zyskała cyberprzestępców pod pseudonimem 0ktapus przez badaczy.
„Głównym celem cyberprzestępców było uzyskanie danych uwierzytelniających Okta i kodów uwierzytelniania wieloskładnikowego (MFA) od użytkowników atakowanych organizacji” – napisali badacze z Group-IB. w ostatnim raporcie. „Ci użytkownicy otrzymali wiadomości tekstowe zawierające łącza do stron phishingowych, które podszywały się pod stronę uwierzytelniania Okta ich organizacji”.
Dotknęło to 114 firm amerykańskich, a dodatkowe ofiary posypały się w 68 dodatkowych krajach.
Roberto Martinez, starszy analityk ds. analizy zagrożeń w Group-IB, powiedział, że zakres ataków jest nadal nieznany. „Kampania 0ktapus okazała się niezwykle udana, a jej pełna skala może nie być znana przez jakiś czas” – powiedział.
Czego chcieli hakerzy 0ktapus
Uważa się, że osoby atakujące 0ktapus rozpoczęły swoją kampanię od atakowania firm telekomunikacyjnych w nadziei na uzyskanie dostępu do numerów telefonów potencjalnych celów.
Chociaż nie ma pewności, w jaki sposób cyberprzestępcy uzyskali listę numerów telefonów wykorzystywanych w atakach związanych z MFA, jeden z badaczy teorii zakłada, że osoby atakujące 0ktapus rozpoczęły swoją kampanię wymierzoną w firmy telekomunikacyjne.
„[A]Według skompromitowanych danych przeanalizowanych przez Group-IB, cyberprzestępcy rozpoczęli swoje ataki od atakowania operatorów komórkowych i firm telekomunikacyjnych i mogli zebrać liczby z tych początkowych ataków” – napisali badacze.
Następnie osoby atakujące wysyłały odsyłacze phishingowe do celów za pośrednictwem wiadomości tekstowych. Linki te prowadziły do stron internetowych imitujących stronę uwierzytelniania Okta używaną przez pracodawcę celu. Ofiary zostały następnie poproszone o podanie danych uwierzytelniających Okta oprócz kodów uwierzytelniania wieloskładnikowego (MFA) używanych przez pracowników do zabezpieczania ich logowania.
W towarzyszeniu blog techniczny, naukowcy z Group-IB wyjaśniają, że początkowe kompromisy, w większości firm zajmujących się oprogramowaniem jako usługą, były pierwszym etapem wielokierunkowego ataku. Ostatecznym celem 0ktapus był dostęp do firmowych list mailingowych lub systemów obsługi klientów w nadziei na ułatwienie ataków w łańcuchu dostaw.
W możliwym powiązanym incydencie, w ciągu kilku godzin od opublikowania przez Grupę IB swojego raportu pod koniec zeszłego tygodnia, firma DoorDash ujawniła, że była celem ataku ze wszystkimi cechami ataku typu 0ktapus.
Promień wybuchu: ataki MFA
W blogu Ujawniono DoorDash; „nieupoważniona strona wykorzystała skradzione dane uwierzytelniające pracowników dostawcy, aby uzyskać dostęp do niektórych naszych wewnętrznych narzędzi”. Zgodnie z postem, osoby atakujące wykradły dane osobowe – w tym nazwiska, numery telefonów, adresy e-mail i adresy dostawy – od klientów i dostawców.
W trakcie swojej kampanii atakujący złamał 5,441 kodów MFA, podała Grupa IB.
„Środki bezpieczeństwa, takie jak MFA, mogą wydawać się bezpieczne… ale jasne jest, że atakujący mogą je pokonać za pomocą stosunkowo prostych narzędzi” – napisali naukowcy.
„To kolejny atak phishingowy pokazujący, jak łatwo przeciwnicy mogą ominąć rzekomo bezpieczne uwierzytelnianie wieloskładnikowe” – napisał w oświadczeniu e-mail Roger Grimes, ewangelista obrony opartej na danych w KnowBe4. „Przenoszenie użytkowników z łatwych do phishingu haseł na łatwe do phishingu usługi MFA po prostu na nic się nie zda. To dużo ciężkiej pracy, zasobów, czasu i pieniędzy, aby nie uzyskać żadnych korzyści”.
Aby złagodzić kampanie w stylu 0ktapus, naukowcy zalecili dobrą higienę wokół adresów URL i haseł oraz używanie FIDO2zgodne klucze bezpieczeństwa dla usługi MFA.
„Niezależnie od tego, z jakiej usługi MFA ktoś korzysta”, poradził Grimes, „użytkownik powinien zostać poinformowany o typowych typach ataków dokonywanych na jego formę MFA, jak rozpoznawać te ataki i jak na nie reagować. Robimy to samo, gdy mówimy użytkownikom, aby wybierali hasła, ale nie, gdy mówimy im, aby używali rzekomo bezpieczniejszego MFA”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :ma
- :Jest
- :nie
- 114
- 9
- a
- O nas
- nadużycie
- dostęp
- zarządzanie dostępem
- Stosownie
- Konta
- w poprzek
- aktorzy
- dodatek
- Dodatkowy
- Adresy
- rozmyślny
- przed
- Wszystkie kategorie
- an
- analityk
- analizowane
- i
- Inne
- każdy
- zjawić się
- SĄ
- na około
- AS
- At
- atakować
- Ataki
- Uwierzytelnianie
- BE
- być
- rozpoczął
- zaczął
- jest
- Uważa
- korzyści
- ale
- by
- Kampania
- Kampanie
- CAN
- jasny
- CloudFlare
- Kody
- zobowiązany
- wspólny
- Firmy
- sukcesy firma
- Zagrożone
- mógłby
- kraje
- kurs
- Listy uwierzytelniające
- Klientów
- dane
- sterowane danymi
- Obrona
- dostawa
- do
- robi
- nie
- Drzwiczki
- z łatwością
- łatwo
- pracowników
- Ewangelista
- dokładnie
- Wyjaśniać
- ułatwienie
- Firma
- firmy
- koncentruje
- W razie zamówieenia projektu
- Nasz formularz
- od
- pełny
- Wzrost
- zdobyte
- otrzymać
- cel
- dobry
- Zarządzanie
- hakerzy
- znak rozpoznawczy
- Ciężko
- ciężka praca
- Have
- he
- ma nadzieję,
- GODZINY
- W jaki sposób
- How To
- HTTPS
- tożsamość
- zarządzanie tożsamością i dostępem
- in
- incydent
- Włącznie z
- niewiarygodnie
- Informacja
- początkowy
- Inteligencja
- wewnętrzny
- IT
- JEGO
- jpg
- Klawisze
- znany
- Nazwisko
- Późno
- Doprowadziło
- linki
- Lista
- wykazy
- loginy
- Partia
- pocztowy
- i konserwacjami
- masywny
- Może..
- środków
- wiadomości
- MSZ
- Złagodzić
- Aplikacje mobilne
- pieniądze
- jeszcze
- przeważnie
- ruch
- wieloczynnikowe uwierzytelnianie
- uwierzytelnianie wieloczynnikowe
- Nazwy
- Nie
- z naszej
- uzyskać
- uzyskane
- of
- OK
- on
- ONE
- operatorzy
- or
- organizacja
- organizacji
- ludzkiej,
- koniec
- Przezwyciężać
- przegląd
- strona
- przyjęcie
- hasła
- Ludzie
- osobisty
- phishing
- atak phishingowy
- kampania phishingowa
- Witryny wyłudzające informacje
- telefon
- wybierać
- plato
- Analiza danych Platona
- PlatoDane
- możliwy
- Post
- potencjał
- pierwotny
- Wydawniczy
- Odebrane
- niedawny
- rozpoznać
- Zalecana
- związane z
- stosunkowo
- raport
- Zgłoszone
- Badacze
- Zasoby
- Odpowiadać
- wynikał
- Ujawnił
- Powiedział
- taki sam
- Skala
- zakres
- bezpieczne
- bezpieczeństwo
- senior
- wysłany
- powinien
- seans
- Prosty
- po prostu
- Witryny
- kilka
- Ktoś
- rozpoczęty
- Zestawienie sprzedaży
- Nadal
- skradziony
- Zatwierdź
- udany
- taki
- system
- systemy
- ukierunkowane
- kierowania
- cele
- nauczony
- telekomunikacja
- powiedzieć
- XNUMX
- że
- Połączenia
- ich
- Im
- następnie
- teoria
- tych
- groźba
- podmioty grożące
- inteligencja zagrożeń
- Związany
- czas
- do
- narzędzia
- Twilio
- typy
- ostateczny
- nieznany
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- zastosowania
- za pomocą
- sprzedawca
- przez
- Ofiary
- była
- we
- tydzień
- poszedł
- były
- jeśli chodzi o komunikację i motywację
- który
- zwycięski
- w
- w ciągu
- Praca
- napisał
- jeszcze
- zefirnet
