หนวดของกลุ่มภัยคุกคาม '0ktapus' เหยื่อ 130 บริษัท

การโจมตีแบบกำหนดเป้าหมายบนพนักงานของ Twilio และ Cloudflare นั้นเชื่อมโยงกับแคมเปญฟิชชิ่งขนาดใหญ่ ซึ่งส่งผลให้บัญชี 9,931 บัญชีในองค์กรกว่า 130 แห่งถูกบุกรุก แคมเปญนี้เชื่อมโยงกับการใช้ข้อมูลประจำตัวและการเข้าถึง บริษัท Okta ในทางที่ผิดซึ่งได้รับชื่อเล่น 0ktapus โดยนักวิจัย

“เป้าหมายหลักของผู้คุกคามคือการได้รับข้อมูลประจำตัวของ Okta และรหัสการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) จากผู้ใช้ขององค์กรเป้าหมาย” นักวิจัย Group-IB เขียน ในรายงานล่าสุด. “ผู้ใช้เหล่านี้ได้รับข้อความที่มีลิงก์ไปยังไซต์ฟิชชิ่งที่เลียนแบบหน้าการตรวจสอบสิทธิ์ Okta ขององค์กร”

บริษัทที่ได้รับผลกระทบคือบริษัทในสหรัฐฯ 114 แห่ง โดยมีเหยื่อรายอื่นๆ กระจายไปทั่วอีก 68 ประเทศ

Roberto Martinez นักวิเคราะห์ข่าวกรองภัยคุกคามอาวุโสของ Group-IB กล่าวว่าขอบเขตของการโจมตียังไม่เป็นที่ทราบแน่ชัด “แคมเปญ 0ktapus ประสบความสำเร็จอย่างเหลือเชื่อ และอาจไม่ทราบถึงขนาดเต็มรูปแบบมาระยะหนึ่งแล้ว” เขากล่าว

สิ่งที่แฮกเกอร์ 0ktapus ต้องการ

เชื่อกันว่าผู้โจมตี 0ktapus ได้เริ่มการรณรงค์โดยกำหนดเป้าหมายไปยังบริษัทโทรคมนาคมโดยหวังว่าจะชนะการเข้าถึงหมายเลขโทรศัพท์ของเป้าหมายที่เป็นไปได้

แม้จะไม่แน่ใจอย่างแน่ชัดว่าผู้คุกคามได้รับรายชื่อหมายเลขโทรศัพท์ที่ใช้ในการโจมตีที่เกี่ยวข้องกับ MFA อย่างไร นักวิจัยทฤษฎีหนึ่งตั้งข้อสังเกตว่าผู้โจมตี 0ktapus เริ่มต้นแคมเปญที่กำหนดเป้าหมายไปยังบริษัทโทรคมนาคม

“[A] จากข้อมูลที่ถูกบุกรุกซึ่งวิเคราะห์โดย Group-IB ผู้โจมตีเริ่มการโจมตีโดยกำหนดเป้าหมายที่ผู้ให้บริการโทรศัพท์มือถือและบริษัทโทรคมนาคม และสามารถรวบรวมตัวเลขจากการโจมตีครั้งแรกเหล่านั้นได้” นักวิจัยเขียน

ต่อมา ผู้โจมตีส่งลิงก์ฟิชชิ่งไปยังเป้าหมายผ่านทางข้อความ ลิงก์เหล่านั้นนำไปสู่หน้าเว็บที่เลียนแบบหน้าการตรวจสอบสิทธิ์ Okta ที่นายจ้างของเป้าหมายใช้ เหยื่อถูกขอให้ส่งข้อมูลประจำตัว Okta นอกเหนือจากรหัสการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ที่พนักงานใช้เพื่อรักษาความปลอดภัยในการเข้าสู่ระบบ

ในเอกสารประกอบ บล็อกทางเทคนิคนักวิจัยจาก Group-IB อธิบายว่าการประนีประนอมในขั้นต้นของบริษัทซอฟต์แวร์ในฐานะผู้ให้บริการส่วนใหญ่เป็นขั้นตอนแรกในการโจมตีแบบหลายง่าม เป้าหมายสูงสุดของ 0ktapus คือการเข้าถึงรายชื่อผู้รับจดหมายของบริษัทหรือระบบที่ติดต่อกับลูกค้าโดยหวังว่าจะอำนวยความสะดวกในการโจมตีห่วงโซ่อุปทาน

ในเหตุการณ์ที่เกี่ยวข้องที่อาจเกิดขึ้น ภายในไม่กี่ชั่วโมงหลังจากที่ Group-IB เผยแพร่รายงานเมื่อปลายสัปดาห์ที่แล้ว บริษัท DoorDash เปิดเผยว่ามีจุดมุ่งหมายในการโจมตีด้วยคุณลักษณะทั้งหมดของการโจมตีแบบ 0ktapus

รัศมีระเบิด: การโจมตีของ MFA

ใน โพสต์บล็อก DoorDash เปิดเผย; “บุคคลที่ไม่ได้รับอนุญาตใช้ข้อมูลประจำตัวที่ถูกขโมยไปของพนักงานผู้ขายเพื่อเข้าถึงเครื่องมือภายในบางอย่างของเรา” ผู้โจมตีตามโพสต์ดังกล่าว ได้ขโมยข้อมูลส่วนบุคคล รวมถึงชื่อ หมายเลขโทรศัพท์ อีเมล และที่อยู่ในการจัดส่ง จากลูกค้าและผู้จัดส่ง

ในระหว่างการหาเสียง ผู้โจมตีได้บุกรุกรหัส MFA 5,441 รหัส Group-IB รายงาน

“มาตรการรักษาความปลอดภัย เช่น MFA อาจดูปลอดภัย… แต่ชัดเจนว่าผู้โจมตีสามารถเอาชนะพวกเขาได้ด้วยเครื่องมือที่ค่อนข้างง่าย” นักวิจัยเขียน

“นี่เป็นการโจมตีแบบฟิชชิ่งอีกรูปแบบหนึ่งที่แสดงให้เห็นว่าฝ่ายตรงข้ามสามารถเลี่ยงการพิสูจน์ตัวตนแบบหลายปัจจัยได้ง่ายดายเพียงใด” Roger Grimes ผู้เผยแพร่ศาสนาด้านการป้องกันที่ขับเคลื่อนด้วยข้อมูลที่ KnowBe4 เขียนในแถลงการณ์ทางอีเมล “การย้ายผู้ใช้จากรหัสผ่านฟิชชิ่งอย่างง่ายไปเป็น MFA ที่สามารถฟิชชิ่งได้อย่างง่ายดายนั้นไม่มีประโยชน์ เป็นการทำงานหนัก ทรัพยากร เวลา และเงินจำนวนมาก โดยไม่ได้รับผลประโยชน์ใดๆ เลย”

เพื่อลดแคมเปญแบบ 0ktapus นักวิจัยได้แนะนำสุขอนามัยที่ดีเกี่ยวกับ URL และรหัสผ่านและการใช้ FIDO2- คีย์ความปลอดภัยที่สอดคล้องกับ MFA

ไกรมส์แนะนำว่า "ไม่ว่าจะใช้ MFA อะไรก็ตาม" ผู้ใช้ควรได้รับการสอนเกี่ยวกับประเภทการโจมตีทั่วไปที่กระทำต่อรูปแบบของ MFA วิธีการรับรู้การโจมตีเหล่านั้นและวิธีตอบสนอง เราทำเช่นเดียวกันเมื่อเราบอกให้ผู้ใช้เลือกรหัสผ่าน แต่อย่าเมื่อเราบอกให้พวกเขาใช้ MFA ที่ปลอดภัยกว่าที่คาดคะเน”