Tentakler från '0ktapus' hotgrupp gör 130 företag offer

Riktade attacker på Twilio- och Cloudflare-anställda är knutna till en massiv nätfiskekampanj som resulterade i att 9,931 130 konton på över 0 organisationer äventyrades. Kampanjerna är knutna till fokuserat missbruk av identitets- och åtkomsthanteringsföretaget Okta, som fick hotaktörerna XNUMXktapus-monikern av forskare.

"Hotaktörernas primära mål var att få Okta-identitetsuppgifter och multi-factor authentication (MFA)-koder från användare av de riktade organisationerna", skrev Group-IB-forskare i en färsk rapport. "Dessa användare fick textmeddelanden som innehöll länkar till nätfiskewebbplatser som efterliknade Okta-autentiseringssidan för deras organisation."

114 USA-baserade företag påverkades, med ytterligare offer spridda över 68 ytterligare länder.

Roberto Martinez, senior hotintelligensanalytiker vid Group-IB, sa att attackernas omfattning fortfarande är okänd. "0ktapus-kampanjen har varit otroligt framgångsrik, och hela omfattningen av den kanske inte är känd på ett tag", sa han.

Vad 0ktapus-hackarna ville ha

0ktapus-angriparna tros ha börjat sin kampanj genom att rikta in sig på telekommunikationsföretag i hopp om att vinna tillgång till potentiella måls telefonnummer.

Även om de är osäker på exakt hur hotaktörer fick en lista över telefonnummer som används i MFA-relaterade attacker, är en teori som forskare hävdar att 0ktapus-angripare började sin kampanj riktad mot telekommunikationsföretag.

"[En] enligt de komprometterade data som analyserats av Group-IB, startade hotaktörerna sina attacker genom att rikta in sig på mobiloperatörer och telekommunikationsföretag och kunde ha samlat in siffrorna från de första attackerna", skrev forskare.

Därefter skickade angripare nätfiske-länkar till mål via textmeddelanden. Dessa länkar ledde till webbsidor som efterliknade Okta-autentiseringssidan som används av målets arbetsgivare. Offren ombads sedan att skicka in Okta-identitetsuppgifter utöver en multi-factor authentication (MFA)-koder som anställda använde för att säkra sina inloggningar.

I en medföljande teknisk blogg, förklarar forskare vid Group-IB att de initiala kompromisserna för mestadels mjukvaru-som-en-tjänst-företag var en fas ett i en flerdelad attack. 0ktapus slutmål var att få tillgång till företags e-postlistor eller kundinriktade system i hopp om att underlätta attacker i leveranskedjan.

I en möjlig relaterad incident, inom några timmar efter att Group-IB publicerade sin rapport i slutet av förra veckan, avslöjade företaget DoorDash att det var målet för en attack med alla kännetecken för en attack i 0ktapus-stil.

Blast Radius: MFA Attacks

I en blogginlägg DoorDash avslöjade; "Obehörig part använde de stulna uppgifterna från säljarens anställda för att få tillgång till några av våra interna verktyg." Angriparna, enligt inlägget, fortsatte med att stjäla personlig information – inklusive namn, telefonnummer, e-post och leveransadresser – från kunder och leveranspersonal.

Under sin kampanj komprometterade angriparen 5,441 XNUMX MFA-koder, rapporterade Group-IB.

"Säkerhetsåtgärder som MFA kan verka säkra... men det är tydligt att angripare kan övervinna dem med relativt enkla verktyg", skrev forskare.

"Detta är ännu en nätfiskeattack som visar hur lätt det är för motståndare att kringgå förment säker multifaktorautentisering", skrev Roger Grimes, datadriven försvarsevangelist på KnowBe4, i ett uttalande via e-post. "Det hjälper helt enkelt inte att flytta användare från lösenord som är lätta att nätfiska till MFA som är lätta att nätfiska. Det är mycket hårt arbete, resurser, tid och pengar, för att inte få någon nytta.”

För att mildra kampanjer i 0ktapus-stil rekommenderade forskarna god hygien kring webbadresser och lösenord, och FIDO2-kompatibla säkerhetsnycklar för MFA.

"Vad som helst av MFA någon använder," rådde Grimes, "bör användaren läras om de vanliga typerna av attacker som begås mot deras form av MFA, hur man känner igen dessa attacker och hur man reagerar. Vi gör samma sak när vi säger åt användare att välja lösenord, men inte när vi säger åt dem att använda förment säkrare MFA.”