Xúc tu của Nhóm Đe dọa '0ktapus' Làm hại 130 doanh nghiệp

Các cuộc tấn công có chủ đích vào nhân viên Twilio và Cloudflare gắn liền với một chiến dịch lừa đảo lớn dẫn đến việc 9,931 tài khoản tại hơn 130 tổ chức bị xâm nhập. Các chiến dịch gắn liền với việc lạm dụng tập trung vào danh tính và công ty quản lý truy cập Okta, được các nhà nghiên cứu đặt cho biệt danh 0ktapus của các tác nhân đe dọa.

Các nhà nghiên cứu của Group-IB viết: “Mục tiêu chính của các tác nhân đe dọa là lấy thông tin xác thực Okta và mã xác thực đa yếu tố (MFA) từ người dùng của các tổ chức được nhắm mục tiêu. trong một báo cáo gần đây. “Những người dùng này đã nhận được tin nhắn văn bản chứa các liên kết đến các trang web lừa đảo bắt chước trang xác thực Okta của tổ chức họ.”

Bị ảnh hưởng là 114 công ty có trụ sở tại Hoa Kỳ, với các nạn nhân khác rải rác trên 68 quốc gia khác.

Roberto Martinez, nhà phân tích tình báo mối đe dọa cấp cao tại Group-IB, cho biết phạm vi của các cuộc tấn công vẫn là một ẩn số. “Chiến dịch 0ktapus đã thành công ngoài sức tưởng tượng và quy mô đầy đủ của nó có thể không được biết đến trong một thời gian,” ông nói.

Tin tặc 0ktapus muốn gì

Những kẻ tấn công 0ktapus được cho là đã bắt đầu chiến dịch của mình bằng cách nhắm mục tiêu vào các công ty viễn thông với hy vọng giành được quyền truy cập vào số điện thoại của các mục tiêu tiềm năng.

Mặc dù không chắc chắn chính xác bằng cách nào mà các kẻ đe dọa có được danh sách các số điện thoại được sử dụng trong các cuộc tấn công liên quan đến MFA, một giả thuyết mà các nhà nghiên cứu cho rằng những kẻ tấn công 0ktapus đã bắt đầu chiến dịch nhắm mục tiêu vào các công ty viễn thông.

“[A] Theo dữ liệu bị xâm nhập được phân tích bởi Group-IB, các tác nhân đe dọa bắt đầu các cuộc tấn công của họ bằng cách nhắm mục tiêu vào các nhà khai thác di động và các công ty viễn thông và có thể đã thu thập số liệu từ các cuộc tấn công ban đầu đó,” các nhà nghiên cứu viết.

Tiếp theo, những kẻ tấn công đã gửi các liên kết lừa đảo đến các mục tiêu thông qua tin nhắn văn bản. Những liên kết đó dẫn đến các trang web bắt chước trang xác thực Okta được sử dụng bởi chủ nhân của mục tiêu. Sau đó, nạn nhân được yêu cầu gửi thông tin xác thực nhận dạng Okta cùng với mã xác thực đa yếu tố (MFA) mà nhân viên sử dụng để bảo mật thông tin đăng nhập của họ.

Trong một người đi kèm blog kỹ thuật, các nhà nghiên cứu tại Group-IB giải thích rằng các thỏa hiệp ban đầu của hầu hết các công ty phần mềm như một dịch vụ là một giai đoạn trong một cuộc tấn công đa hướng. Mục tiêu cuối cùng của 0ktapus là truy cập vào danh sách gửi thư của công ty hoặc hệ thống tiếp xúc với khách hàng với hy vọng tạo điều kiện cho các cuộc tấn công chuỗi cung ứng.

Trong một sự cố có thể xảy ra liên quan, trong vòng vài giờ sau khi Group-IB công bố báo cáo của mình vào cuối tuần trước, công ty DoorDash đã tiết lộ rằng họ đã bị nhắm mục tiêu trong một cuộc tấn công với tất cả các dấu hiệu của một cuộc tấn công kiểu 0ktapus.

Bán kính vụ nổ: Các cuộc tấn công MFA

Trong một blog đăng bài DoorDash tiết lộ; "Bên trái phép đã sử dụng thông tin đăng nhập bị đánh cắp của nhân viên nhà cung cấp để có quyền truy cập vào một số công cụ nội bộ của chúng tôi." Những kẻ tấn công, theo bài đăng, tiếp tục đánh cắp thông tin cá nhân - bao gồm tên, số điện thoại, email và địa chỉ giao hàng - từ khách hàng và người giao hàng.

Trong quá trình chiến dịch của mình, kẻ tấn công đã xâm nhập 5,441 mã MFA, Group-IB đưa tin.

Các nhà nghiên cứu viết: “Các biện pháp bảo mật như MFA có thể tỏ ra an toàn… nhưng rõ ràng là những kẻ tấn công có thể vượt qua chúng bằng các công cụ tương đối đơn giản.

“Đây lại là một cuộc tấn công lừa đảo khác cho thấy đối thủ dễ dàng vượt qua xác thực đa yếu tố được cho là an toàn như thế nào”, Roger Grimes, nhà truyền bá phòng thủ theo hướng dữ liệu tại KnowBe4, viết trong một tuyên bố qua email. “Việc chuyển người dùng từ mật khẩu dễ dàng lừa đảo sang MFA dễ dàng lừa đảo là không tốt. Đó là rất nhiều công việc khó khăn, nguồn lực, thời gian và tiền bạc, không thu được bất kỳ lợi ích nào ”.

Để giảm thiểu các chiến dịch kiểu 0ktapus, các nhà nghiên cứu đã khuyến nghị vệ sinh tốt các URL và mật khẩu, đồng thời sử dụng FIDO2-chìa khóa bảo mật tuân thủ cho MFA.

Grimes khuyên “Người dùng sử dụng bất cứ MFA nào”, “người dùng nên được dạy về các loại tấn công phổ biến được thực hiện đối với hình thức MFA của họ, cách nhận ra các cuộc tấn công đó và cách đối phó. Chúng tôi cũng làm như vậy khi yêu cầu người dùng chọn mật khẩu nhưng không làm như vậy khi chúng tôi yêu cầu họ sử dụng MFA được cho là an toàn hơn ”.