Более 130 компаний запутались в обширной фишинговой кампании, которая подделала систему многофакторной аутентификации.
Целевые атаки на сотрудников Twilio и Cloudflare связаны с масштабной фишинговой кампанией, в результате которой был скомпрометирован 9,931 130 аккаунт в более чем 0 организациях. Кампании связаны с целенаправленным злоупотреблением фирмой по управлению идентификацией и доступом Okta, которая получила от исследователей прозвище XNUMXktapus.
«Основной целью злоумышленников было получение учетных данных Okta и кодов многофакторной аутентификации (MFA) от пользователей целевых организаций», — пишут исследователи Group-IB. в недавнем отчете. «Эти пользователи получали текстовые сообщения, содержащие ссылки на фишинговые сайты, имитирующие страницу аутентификации Okta их организации».
Пострадали 114 компаний, базирующихся в США, с дополнительными жертвами, разбросанными по 68 дополнительным странам.
Роберто Мартинес, старший аналитик по анализу угроз в Group-IB, сказал, что масштаб атак до сих пор неизвестен. «Кампания 0ktapus была невероятно успешной, и ее полный масштаб может быть неизвестен в течение некоторого времени», — сказал он.
Чего хотели хакеры 0ktapus
Предполагается, что злоумышленники 0ktapus начали свою кампанию с нападения на телекоммуникационные компании в надежде получить доступ к телефонным номерам потенциальных жертв.
Хотя точно неизвестно, как злоумышленники получили список телефонных номеров, используемых в атаках, связанных с MFA, одна из теорий исследователей утверждает, что злоумышленники 0ktapus начали свою кампанию, нацеленную на телекоммуникационные компании.
«Согласно скомпрометированным данным, проанализированным Group-IB, злоумышленники начали свои атаки, нацеливаясь на операторов мобильной связи и телекоммуникационных компаний, и могли собрать данные по этим первоначальным атакам», — пишут исследователи.
Затем злоумышленники рассылали фишинговые ссылки целевым объектам с помощью текстовых сообщений. Эти ссылки вели на веб-страницы, имитирующие страницу аутентификации Okta, используемую целевым работодателем. Затем жертв попросили предоставить учетные данные Okta в дополнение к кодам многофакторной аутентификации (MFA), которые сотрудники использовали для защиты своих входов в систему.
В сопроводительном технический блог, исследователи из Group-IB объясняют, что первоначальные компрометации компаний, которые в основном предлагали программное обеспечение как услугу, были первым этапом комплексной атаки. Конечная цель 0ktapus заключалась в том, чтобы получить доступ к спискам рассылки компании или системам, ориентированным на клиентов, в надежде облегчить атаки на цепочку поставок.
В возможном связанном с этим инциденте, через несколько часов после того, как Group-IB опубликовала свой отчет в конце прошлой недели, фирма DoorDash сообщила, что она стала целью атаки со всеми признаками атаки в стиле 0ktapus.
Радиус взрыва: атаки MFA
В блоге Показан DoorDash; «Неавторизованная сторона использовала украденные учетные данные сотрудников поставщика, чтобы получить доступ к некоторым нашим внутренним инструментам». Злоумышленники, согласно сообщению, продолжали красть личную информацию, включая имена, номера телефонов, электронную почту и адреса доставки, у клиентов и курьеров.
В ходе своей кампании злоумышленник скомпрометировал 5,441 код MFA, сообщает Group-IB.
«Меры безопасности, такие как MFA, могут казаться безопасными… но ясно, что злоумышленники могут обойти их с помощью относительно простых инструментов», — пишут исследователи.
«Это еще одна фишинговая атака, показывающая, как легко злоумышленники могут обойти якобы безопасную многофакторную аутентификацию», — написал Роджер Граймс, евангелист защиты на основе данных в KnowBe4, в заявлении по электронной почте. «Просто бесполезно переводить пользователей с паролей, которые легко поддаются фишингу, на MFA, которые легко поддаются фишингу. Это много тяжелой работы, ресурсов, времени и денег, чтобы не получить никакой выгоды».
Чтобы смягчить кампании в стиле 0ktapus, исследователи рекомендовали соблюдать правила гигиены в отношении URL-адресов и паролей, а также использовать FIDO2совместимые ключи безопасности для MFA.
«Какой бы MFA кто-либо ни использовал, — советует Граймс, — пользователь должен быть проинструктирован об общих типах атак, совершаемых против его формы MFA, о том, как распознавать эти атаки и как на них реагировать. Мы делаем то же самое, когда просим пользователей выбирать пароли, но не делаем этого, когда просим их использовать предположительно более безопасный MFA».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :имеет
- :является
- :нет
- 114
- 9
- a
- О нас
- злоупотребление
- доступ
- управление доступом
- По
- Учетные записи
- через
- актеры
- дополнение
- дополнительный
- адреса
- рекомендуется
- против
- Все
- an
- аналитик
- проанализированы
- и
- Другой
- любой
- появиться
- МЫ
- около
- AS
- At
- атаковать
- нападки
- Аутентификация
- BE
- было
- начал
- начал
- не являетесь
- распространенной
- польза
- но
- by
- Кампания
- Кампании
- CAN
- Очистить
- CloudFlare
- Коды
- привержен
- Общий
- Компании
- Компания
- Ослабленный
- может
- страны
- курс
- Полномочия
- Клиенты
- данным
- управляемых данными
- Защита
- поставка
- do
- приносит
- Dont
- DoorDash
- легко
- легко
- сотрудников
- Евангелист
- точно,
- Объяснять
- облегчающий
- Фирма
- Компаний
- внимание
- Что касается
- форма
- от
- полный
- Gain
- получила
- получить
- цель
- хорошо
- группы
- Хакеры
- клейма
- Жесткий
- тяжелая работа
- Есть
- he
- надеется,
- ЧАСЫ
- Как
- How To
- HTTPS
- Личность
- управление идентификацией и доступом
- in
- инцидент
- В том числе
- невероятно
- информация
- начальный
- Интеллекта
- в нашей внутренней среде,
- IT
- ЕГО
- JPG
- ключи
- известный
- Фамилия
- Поздно
- привело
- связи
- Список
- Списки
- логины
- серия
- рассылки
- управление
- массивный
- Май..
- меры
- Сообщения
- МИД
- смягчать
- Мобильный телефон
- деньги
- БОЛЕЕ
- в основном
- двигаться
- многофакторная аутентификация
- многофакторная аутентификация
- имена
- нет
- номера
- получать
- полученный
- of
- ОКТА
- on
- ONE
- Операторы
- or
- организация
- организации
- наши
- за
- Преодолеть
- обзор
- страница
- вечеринка
- пароли
- Люди
- личного
- фишинг
- фишинг-атака
- фишинговая кампания
- Фишинговые сайты
- Телефон
- выбирать
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- возможное
- После
- потенциал
- первичный
- Издательство
- получила
- последний
- признавать
- Управление по борьбе с наркотиками (DEA)
- Связанный
- относительно
- отчету
- Сообщается
- исследователи
- Полезные ресурсы
- Реагируйте
- привело
- Показали
- Сказал
- то же
- Шкала
- сфера
- безопасный
- безопасность
- старший
- послать
- должен
- показ
- просто
- просто
- Сайтов
- некоторые
- Кто-то
- и политические лидеры
- заявление
- По-прежнему
- украли
- отправить
- успешный
- такие
- система
- системы
- целевое
- направлены
- направлена против
- учил
- связь
- сказать
- текст
- который
- Ассоциация
- их
- Их
- тогда
- теория
- те
- угроза
- актеры угрозы
- разведка угроз
- Связанный
- время
- в
- инструменты
- Twilio
- Типы
- окончательный
- неизвестный
- использование
- используемый
- Информация о пользователе
- пользователей
- использования
- через
- продавец
- с помощью
- жертвы
- законопроект
- we
- неделя
- пошел
- были
- когда
- который
- победа
- в
- Работа
- писал
- еще
- зефирнет