130'dan fazla şirket, çok faktörlü bir kimlik doğrulama sistemini taklit eden, genişleyen kimlik avı kampanyasına karıştı.
Twilio ve Cloudflare çalışanlarına yönelik hedefli saldırılar, 9,931'dan fazla kuruluştaki 130 hesabın ele geçirilmesiyle sonuçlanan büyük bir kimlik avı kampanyasıyla bağlantılı. Kampanyalar, araştırmacılar tarafından tehdit aktörlerine 0ktapus adını kazandıran kimlik ve erişim yönetimi firması Okta'nın kötüye kullanılmasıyla bağlantılı.
Group-IB araştırmacıları şöyle yazdı: "Tehdit aktörlerinin birincil hedefi, hedeflenen kuruluşların kullanıcılarından Okta kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını elde etmekti." son bir raporda. "Bu kullanıcılar, kuruluşlarının Okta kimlik doğrulama sayfasını taklit eden kimlik avı sitelerine bağlantılar içeren kısa mesajlar aldı."
Etkilenenler arasında 114 ABD merkezli firma vardı ve 68 ülkeye daha yayılan ek kurbanlar vardı.
Group-IB'nin kıdemli tehdit istihbaratı analisti Roberto Martinez, saldırıların kapsamının hala bilinmediğini söyledi. "0ktapus kampanyası inanılmaz derecede başarılı oldu ve bunun tam boyutu bir süre daha bilinemeyebilir" dedi.
0ktapus Hackerlarının İstediği Şey
0ktapus saldırganlarının, potansiyel hedeflerin telefon numaralarına erişim kazanma umuduyla telekomünikasyon şirketlerini hedef alarak kampanyalarına başladıklarına inanılıyor.
Tehdit aktörlerinin MFA ile ilgili saldırılarda kullanılan telefon numaralarının listesini nasıl elde ettiğinden tam olarak emin olmasa da araştırmacıların öne sürdüğü teorilerden biri, 0ktapus saldırganlarının kampanyalarına telekomünikasyon şirketlerini hedef alarak başladıkları yönünde.
Araştırmacılar, "[A]Group-IB tarafından analiz edilen ele geçirilmiş verilere göre, tehdit aktörleri saldırılarına mobil operatörleri ve telekomünikasyon şirketlerini hedef alarak başladı ve bu ilk saldırılardan elde edilen rakamları toplamış olabilirler" diye yazdı.
Daha sonra saldırganlar kısa mesaj yoluyla hedeflere kimlik avı bağlantıları gönderdi. Bu bağlantılar, hedefin işvereni tarafından kullanılan Okta kimlik doğrulama sayfasını taklit eden web sayfalarına yol açtı. Daha sonra kurbanlardan, çalışanların girişlerini güvence altına almak için kullandıkları çok faktörlü kimlik doğrulama (MFA) kodlarına ek olarak Okta kimlik bilgilerini de göndermeleri istendi.
Eşlik eden teknik blogGroup-IB'deki araştırmacılar, çoğunlukla hizmet olarak yazılım üreten firmaların başlangıçtaki uzlaşmalarının çok yönlü bir saldırının birinci aşaması olduğunu açıklıyor. 0ktapus'un nihai hedefi, tedarik zinciri saldırılarını kolaylaştırmak umuduyla şirket posta listelerine veya müşteriye yönelik sistemlere erişmekti.
İlgili olası bir olayda, Group-IB'nin geçen haftanın sonlarında raporunu yayınlamasından birkaç saat sonra DoorDash firması, 0ktapus tarzı bir saldırının tüm özelliklerini taşıyan bir saldırının hedefi olduğunu açıkladı.
Patlama Yarıçapı: MFA Saldırıları
İçinde blog yazısı DoorDash ortaya çıktı; "Yetkisiz bir taraf, bazı dahili araçlarımıza erişim sağlamak için satıcı çalışanlarının çalınan kimlik bilgilerini kullandı." Gönderiye göre saldırganlar müşterilerden ve teslimatçılardan isimler, telefon numaraları, e-posta ve teslimat adresleri dahil olmak üzere kişisel bilgileri çalmaya devam etti.
Group-IB'nin raporuna göre, kampanyası sırasında saldırgan 5,441 MFA kodunu ele geçirdi.
Araştırmacılar, "MFA gibi güvenlik önlemleri güvenli görünebilir ancak saldırganların nispeten basit araçlarla bunların üstesinden gelebileceği açıktır" diye yazdı.
KnowBe4 veri odaklı savunma savunucusu Roger Grimes, e-posta yoluyla yaptığı açıklamada, "Bu, düşmanların sözde güvenli çok faktörlü kimlik doğrulamayı atlamasının ne kadar kolay olduğunu gösteren bir başka kimlik avı saldırısıdır" diye yazdı. “Kullanıcıları kolayca kimlik avına izin verilen şifrelerden, kolayca kimlik avı yapılabilen MFA'ya taşımanın hiçbir faydası yok. Herhangi bir fayda elde etmemek için çok fazla sıkı çalışma, kaynak, zaman ve para gerekiyor."
0ktapus tarzı kampanyaları azaltmak için araştırmacılar, URL'ler ve şifreler konusunda iyi hijyen sağlanmasını ve FIDO2MFA için uyumlu güvenlik anahtarları.
Grimes, "Birisi hangi MFA'yı kullanırsa kullansın" tavsiyesinde bulundu, "kullanıcıya, kendi MFA biçimine karşı gerçekleştirilen yaygın saldırı türleri, bu saldırıları nasıl tanıyacağı ve nasıl yanıt vereceği öğretilmelidir. Kullanıcılara parola seçmelerini söylediğimizde de aynısını yapıyoruz, ancak sözde daha güvenli MFA kullanmalarını söylediğimizde bunu yapmıyoruz."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :vardır
- :dır-dir
- :olumsuzluk
- 114
- 9
- a
- Hakkımızda
- taciz
- erişim
- erişim yönetimi
- Göre
- Hesaplar
- karşısında
- aktörler
- ilave
- Ek
- adresleri
- tavsiye
- karşı
- Türkiye
- an
- analist
- analiz
- ve
- Başka
- herhangi
- görünmek
- ARE
- etrafında
- AS
- At
- saldırı
- saldırılar
- Doğrulama
- BE
- olmuştur
- başladı
- başladı
- olmak
- inanılır
- yarar
- fakat
- by
- Kampanya
- Kampanyalar
- CAN
- açık
- CloudFlare
- kodları
- taahhüt
- ortak
- Şirketler
- şirket
- Uzlaşılmış
- olabilir
- ülkeler
- kurs
- Tanıtım
- Müşteriler
- veri
- veri-güdümlü
- Savunma
- teslim
- do
- yok
- Dont
- DoorDash
- kolayca
- kolay
- E-posta
- çalışanların
- Gezici vaiz
- kesinlikle
- Açıklamak
- kolaylaştırıcı
- Firma
- firmalar
- odaklanmış
- İçin
- Airdrop Formu
- itibaren
- tam
- Kazanç
- kazandı
- almak
- gol
- Tercih Etmenizin
- grup
- hackerlar
- özellikleridir
- Zor
- zor iş
- Var
- he
- umut
- SAAT
- Ne kadar
- Nasıl Yapılır
- HTTPS
- Kimlik
- kimlik ve erişim yönetimi
- in
- olay
- Dahil olmak üzere
- inanılmaz
- bilgi
- ilk
- İstihbarat
- iç
- IT
- ONUN
- jpg
- anahtarlar
- bilinen
- Soyad
- Geç
- Led
- bağlantılar
- Liste
- Listeler
- logins
- Çok
- postalama
- yönetim
- masif
- Mayıs..
- önlemler
- mesajları
- MFA
- Azaltmak
- Telefon
- para
- Daha
- çoğunlukla
- hareket
- çok faktörlü kimlik doğrulama
- çok faktörlü kimlik doğrulama
- isimleri
- yok hayır
- sayılar
- elde etmek
- elde
- of
- Okta
- on
- ONE
- operatörler
- or
- kuruluşlar
- organizasyonlar
- bizim
- tekrar
- Üstesinden gelmek
- genel bakış
- Kanal
- Parti
- şifreleri
- İnsanlar
- kişisel
- Kimlik avı
- Kimlik avı saldırısı
- kimlik avı kampanyası
- Kimlik Avı Siteleri
- telefon
- seçmek
- Platon
- Plato Veri Zekası
- PlatoVeri
- mümkün
- Çivi
- potansiyel
- birincil
- Yayıncılık
- Alınan
- son
- tanımak
- Tavsiye edilen
- ilgili
- Nispeten
- rapor
- Bildirilen
- Araştırmacılar
- Kaynaklar
- Yanıtlamak
- sonuçlandı
- Açığa
- Adı geçen
- aynı
- ölçek
- kapsam
- güvenli
- güvenlik
- kıdemli
- gönderdi
- meli
- gösterme
- Basit
- sadece
- Yer
- biraz
- Birisi
- başladı
- Açıklama
- Yine
- çalıntı
- sunmak
- başarılı
- böyle
- sistem
- Sistemler
- Hedeflenen
- hedefleme
- hedefler
- öğretilen
- telekomünikasyon
- söylemek
- metin
- o
- The
- ve bazı Asya
- Onları
- sonra
- teori
- Bu
- tehdit
- tehdit aktörleri
- tehdit istihbaratı
- bağlı
- zaman
- için
- araçlar
- Twilio
- türleri
- nihai
- bilinmeyen
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanım
- kullanma
- satıcı
- üzerinden
- kurbanlar
- oldu
- we
- hafta
- Kimler
- vardı
- ne zaman
- hangi
- kazanan
- ile
- içinde
- İş
- yazdı
- henüz
- zefirnet
