Več kot 130 podjetij se je zapletlo v obsežno kampanjo lažnega predstavljanja, ki je ponaredila sistem večfaktorske avtentikacije.
Ciljni napadi na zaposlene v družbah Twilio in Cloudflare so povezani z obsežno kampanjo lažnega predstavljanja, ki je povzročila ogrožanje 9,931 računov v več kot 130 organizacijah. Kampanje so povezane z osredotočeno zlorabo podjetja Okta za upravljanje identitete in dostopa, zaradi katerega so akterji groženj pridobili vzdevek 0ktapus s strani raziskovalcev.
"Glavni cilj akterjev grožnje je bil pridobiti poverilnice identitete Okta in kode za večfaktorsko avtentikacijo (MFA) od uporabnikov ciljnih organizacij," so zapisali raziskovalci Group-IB. v nedavnem poročilu. "Ti uporabniki so prejeli besedilna sporočila s povezavami do spletnih mest z lažnim predstavljanjem, ki so posnemala stran za preverjanje pristnosti Okta njihove organizacije."
Prizadetih je bilo 114 podjetij s sedežem v ZDA, dodatne žrtve pa so bile razpršene v 68 dodatnih državah.
Roberto Martinez, višji analitik za obveščanje o grožnjah pri Group-IB, je dejal, da obseg napadov še ni znan. "Kampanja 0ktapus je bila neverjetno uspešna in njen celoten obseg morda še nekaj časa ne bo znan," je dejal.
Kaj so hoteli hekerji 0ktapus
Napadalci 0ktapus naj bi svojo kampanjo začeli s ciljanjem na telekomunikacijska podjetja v upanju, da bodo pridobili dostop do telefonskih številk potencialnih tarč.
Čeprav niso prepričani, kako natančno so akterji groženj pridobili seznam telefonskih številk, uporabljenih v napadih, povezanih z MFA, ena od teorij raziskovalcev pravi, da so napadalci 0ktapus svojo kampanjo začeli ciljati na telekomunikacijska podjetja.
"Glede na ogrožene podatke, ki jih je analiziral Group-IB, so akterji groženj začeli svoje napade tako, da so ciljali na mobilne operaterje in telekomunikacijska podjetja in bi lahko zbrali številke iz teh začetnih napadov," so zapisali raziskovalci.
Nato so napadalci tarčam poslali povezave do lažnega predstavljanja prek besedilnih sporočil. Te povezave so vodile do spletnih strani, ki posnemajo stran za preverjanje pristnosti Okta, ki jo uporablja tarčni delodajalec. Žrtve so bile nato pozvane, naj predložijo poverilnice identitete Okta poleg kod za večfaktorsko avtentikacijo (MFA), ki jih zaposleni uporabljajo za zaščito njihovih prijav.
V spremnem tehnični blog, raziskovalci pri Group-IB pojasnjujejo, da so bili začetni kompromisi podjetij, ki večinoma ponujajo programsko opremo kot storitev, prva faza večstranskega napada. Končni cilj 0ktapus je bil dostop do poštnih seznamov podjetja ali sistemov za stranke v upanju, da bo olajšal napade na dobavno verigo.
V možnem povezanem incidentu je podjetje DoorDash v nekaj urah po tem, ko je Group-IB konec prejšnjega tedna objavilo svoje poročilo, razkrilo, da je bilo tarča napada z vsemi značilnostmi napada v slogu 0ktapus.
Radij eksplozije: napadi MFA
V blog post DoorDash razkril; "nepooblaščena oseba je uporabila ukradene poverilnice zaposlenih pri prodajalcu, da bi pridobila dostop do nekaterih naših internih orodij." Napadalci so glede na objavo nadaljevali s krajo osebnih podatkov – vključno z imeni, telefonskimi številkami, e-pošto in naslovi za dostavo – od strank in dostavljavcev.
Med kampanjo je napadalec ogrozil 5,441 kod MFA, poroča Group-IB.
"Varnostni ukrepi, kot je MFA, se lahko zdijo varni ... vendar je jasno, da jih lahko napadalci premagajo z relativno preprostimi orodji," so zapisali raziskovalci.
"To je še en napad z lažnim predstavljanjem, ki prikazuje, kako preprosto je za nasprotnike, da zaobidejo domnevno varno večfaktorsko avtentikacijo," je Roger Grimes, obrambni evangelist na podlagi podatkov pri KnowBe4, zapisal v izjavi po elektronski pošti. »Preprosto ni dobro, da uporabnike premaknete z gesel, ki jih je mogoče preprosto lažno predstavljati, na MFA, ki jih je mogoče zlahka lažno predstavljati. Veliko je trdega dela, sredstev, časa in denarja, da ne dobimo nobene koristi.«
Za ublažitev kampanj v slogu 0ktapus so raziskovalci priporočili dobro higieno okoli URL-jev in gesel ter uporabo FIDO2-združljivi varnostni ključi za MFA.
»Ne glede na to, kateri MFA nekdo uporablja,« je svetoval Grimes, »je treba uporabnika poučiti o pogostih vrstah napadov, ki so storjeni proti njegovi obliki MFA, kako te napade prepoznati in kako se odzvati. Enako storimo, ko uporabnikom rečemo, naj izberejo gesla, vendar ne, ko jim rečemo, naj uporabljajo domnevno bolj varno MFA.«
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :ima
- : je
- :ne
- 114
- 9
- a
- O meni
- zloraba
- dostop
- upravljanje dostopa
- Po
- računi
- čez
- akterji
- Poleg tega
- Dodatne
- naslovi
- svetuje
- proti
- vsi
- an
- Analitik
- analizirati
- in
- Še ena
- kaj
- zdi
- SE
- okoli
- AS
- At
- napad
- Napadi
- Preverjanje pristnosti
- BE
- bilo
- začel
- začel
- počutje
- Menimo
- koristi
- vendar
- by
- Akcija
- Kampanje
- CAN
- jasno
- CloudFlare
- Kode
- storjeno
- Skupno
- Podjetja
- podjetje
- Ogroženo
- bi
- države
- Tečaj
- Mandatno
- Stranke, ki so
- datum
- Podatkov usmerjenih
- Defense
- dostava
- do
- ne
- dont
- DoorDash
- enostavno
- lahka
- E-naslov
- Zaposleni
- Evangelist
- točno
- Pojasnite
- olajšanje
- Firm
- podjetja
- osredotočena
- za
- obrazec
- iz
- polno
- Gain
- pridobljeno
- dobili
- Cilj
- dobro
- skupina
- hekerji
- znaki
- Trdi
- Trdo delo
- Imajo
- he
- upa
- URE
- Kako
- Kako
- HTTPS
- identiteta
- upravljanje identitete in dostopa
- in
- nesreča
- Vključno
- neverjetno
- Podatki
- začetna
- Intelligence
- notranji
- IT
- ITS
- jpg
- tipke
- znano
- Zadnja
- Pozen
- Led
- Povezave
- Seznam
- seznami
- prijave
- Sklop
- Poštni
- upravljanje
- ogromen
- Maj ..
- ukrepe
- sporočil
- MZZ
- Omiliti
- Mobilni
- Denar
- več
- večinoma
- premikanje
- večfaktorna avtentikacija
- večfaktorska overitev
- Imena
- št
- številke
- pridobi
- pridobljeni
- of
- OKTA
- on
- ONE
- operaterji
- or
- Organizacija
- organizacije
- naši
- več
- Premagajte
- pregled
- Stran
- zabava
- gesla
- ljudje
- Osebni
- Ribarjenje
- lažni napad
- phishing kampanje
- Spletna mesta z lažnim predstavljanjem
- telefon
- kramp
- platon
- Platonova podatkovna inteligenca
- PlatoData
- mogoče
- Prispevek
- potencial
- primarni
- Založništvo
- prejetih
- nedavno
- priznajo
- priporočeno
- povezane
- relativno
- poročilo
- Prijavljeno
- raziskovalci
- viri
- Odzove
- rezultat
- Razkrito
- Je dejal
- Enako
- Lestvica
- Obseg
- zavarovanje
- varnost
- višji
- poslan
- shouldnt
- Prikaz
- Enostavno
- preprosto
- Spletna mesta
- nekaj
- nekdo
- začel
- Izjava
- Še vedno
- ukradeno
- predloži
- uspešno
- taka
- sistem
- sistemi
- ciljno
- ciljanje
- Cilji
- učil
- telekomunikacije
- povej
- besedilo
- da
- O
- njihove
- Njih
- POTEM
- Teorija
- tisti,
- Grožnja
- akterji groženj
- obveščevalna nevarnost
- vezana
- čas
- do
- orodja
- Twilio
- Vrste
- Končni
- neznan
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporablja
- uporabo
- Prodajalec
- preko
- žrtve
- je
- we
- teden
- šla
- so bili
- kdaj
- ki
- zmago
- z
- v
- delo
- Napisal
- še
- zefirnet
