Hơn 130 công ty vướng vào chiến dịch lừa đảo rộng rãi nhằm giả mạo hệ thống xác thực đa yếu tố.
Các cuộc tấn công có chủ đích vào nhân viên Twilio và Cloudflare gắn liền với một chiến dịch lừa đảo lớn dẫn đến việc 9,931 tài khoản tại hơn 130 tổ chức bị xâm nhập. Các chiến dịch gắn liền với việc lạm dụng tập trung vào danh tính và công ty quản lý truy cập Okta, được các nhà nghiên cứu đặt cho biệt danh 0ktapus của các tác nhân đe dọa.
Các nhà nghiên cứu của Group-IB viết: “Mục tiêu chính của các tác nhân đe dọa là lấy thông tin xác thực Okta và mã xác thực đa yếu tố (MFA) từ người dùng của các tổ chức được nhắm mục tiêu. trong một báo cáo gần đây. “Những người dùng này đã nhận được tin nhắn văn bản chứa các liên kết đến các trang web lừa đảo bắt chước trang xác thực Okta của tổ chức họ.”
Bị ảnh hưởng là 114 công ty có trụ sở tại Hoa Kỳ, với các nạn nhân khác rải rác trên 68 quốc gia khác.
Roberto Martinez, nhà phân tích tình báo mối đe dọa cấp cao tại Group-IB, cho biết phạm vi của các cuộc tấn công vẫn là một ẩn số. “Chiến dịch 0ktapus đã thành công ngoài sức tưởng tượng và quy mô đầy đủ của nó có thể không được biết đến trong một thời gian,” ông nói.
Tin tặc 0ktapus muốn gì
Những kẻ tấn công 0ktapus được cho là đã bắt đầu chiến dịch của mình bằng cách nhắm mục tiêu vào các công ty viễn thông với hy vọng giành được quyền truy cập vào số điện thoại của các mục tiêu tiềm năng.
Mặc dù không chắc chắn chính xác bằng cách nào mà các kẻ đe dọa có được danh sách các số điện thoại được sử dụng trong các cuộc tấn công liên quan đến MFA, một giả thuyết mà các nhà nghiên cứu cho rằng những kẻ tấn công 0ktapus đã bắt đầu chiến dịch nhắm mục tiêu vào các công ty viễn thông.
“[A] Theo dữ liệu bị xâm nhập được phân tích bởi Group-IB, các tác nhân đe dọa bắt đầu các cuộc tấn công của họ bằng cách nhắm mục tiêu vào các nhà khai thác di động và các công ty viễn thông và có thể đã thu thập số liệu từ các cuộc tấn công ban đầu đó,” các nhà nghiên cứu viết.
Tiếp theo, những kẻ tấn công đã gửi các liên kết lừa đảo đến các mục tiêu thông qua tin nhắn văn bản. Những liên kết đó dẫn đến các trang web bắt chước trang xác thực Okta được sử dụng bởi chủ nhân của mục tiêu. Sau đó, nạn nhân được yêu cầu gửi thông tin xác thực nhận dạng Okta cùng với mã xác thực đa yếu tố (MFA) mà nhân viên sử dụng để bảo mật thông tin đăng nhập của họ.
Trong một người đi kèm blog kỹ thuật, các nhà nghiên cứu tại Group-IB giải thích rằng các thỏa hiệp ban đầu của hầu hết các công ty phần mềm như một dịch vụ là một giai đoạn trong một cuộc tấn công đa hướng. Mục tiêu cuối cùng của 0ktapus là truy cập vào danh sách gửi thư của công ty hoặc hệ thống tiếp xúc với khách hàng với hy vọng tạo điều kiện cho các cuộc tấn công chuỗi cung ứng.
Trong một sự cố có thể xảy ra liên quan, trong vòng vài giờ sau khi Group-IB công bố báo cáo của mình vào cuối tuần trước, công ty DoorDash đã tiết lộ rằng họ đã bị nhắm mục tiêu trong một cuộc tấn công với tất cả các dấu hiệu của một cuộc tấn công kiểu 0ktapus.
Bán kính vụ nổ: Các cuộc tấn công MFA
Trong một blog đăng bài DoorDash tiết lộ; "Bên trái phép đã sử dụng thông tin đăng nhập bị đánh cắp của nhân viên nhà cung cấp để có quyền truy cập vào một số công cụ nội bộ của chúng tôi." Những kẻ tấn công, theo bài đăng, tiếp tục đánh cắp thông tin cá nhân - bao gồm tên, số điện thoại, email và địa chỉ giao hàng - từ khách hàng và người giao hàng.
Trong quá trình chiến dịch của mình, kẻ tấn công đã xâm nhập 5,441 mã MFA, Group-IB đưa tin.
Các nhà nghiên cứu viết: “Các biện pháp bảo mật như MFA có thể tỏ ra an toàn… nhưng rõ ràng là những kẻ tấn công có thể vượt qua chúng bằng các công cụ tương đối đơn giản.
“Đây lại là một cuộc tấn công lừa đảo khác cho thấy đối thủ dễ dàng vượt qua xác thực đa yếu tố được cho là an toàn như thế nào”, Roger Grimes, nhà truyền bá phòng thủ theo hướng dữ liệu tại KnowBe4, viết trong một tuyên bố qua email. “Việc chuyển người dùng từ mật khẩu dễ dàng lừa đảo sang MFA dễ dàng lừa đảo là không tốt. Đó là rất nhiều công việc khó khăn, nguồn lực, thời gian và tiền bạc, không thu được bất kỳ lợi ích nào ”.
Để giảm thiểu các chiến dịch kiểu 0ktapus, các nhà nghiên cứu đã khuyến nghị vệ sinh tốt các URL và mật khẩu, đồng thời sử dụng FIDO2-chìa khóa bảo mật tuân thủ cho MFA.
Grimes khuyên “Người dùng sử dụng bất cứ MFA nào”, “người dùng nên được dạy về các loại tấn công phổ biến được thực hiện đối với hình thức MFA của họ, cách nhận ra các cuộc tấn công đó và cách đối phó. Chúng tôi cũng làm như vậy khi yêu cầu người dùng chọn mật khẩu nhưng không làm như vậy khi chúng tôi yêu cầu họ sử dụng MFA được cho là an toàn hơn ”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- : có
- :là
- :không phải
- 114
- 9
- a
- Giới thiệu
- lạm dụng
- truy cập
- Quản lý truy cập
- Theo
- Trợ Lý Giám Đốc
- ngang qua
- diễn viên
- Ngoài ra
- thêm vào
- địa chỉ
- khuyên
- chống lại
- Tất cả
- an
- phân tích
- phân tích
- và
- Một
- bất kì
- xuất hiện
- LÀ
- xung quanh
- AS
- At
- tấn công
- Các cuộc tấn công
- Xác thực
- BE
- được
- bắt đầu
- đã bắt đầu
- được
- tin
- hưởng lợi
- nhưng
- by
- Chiến dịch
- Chiến dịch
- CAN
- trong sáng
- CloudFlare
- mã số
- cam kết
- Chung
- Các công ty
- công ty
- Thỏa hiệp
- có thể
- nước
- khóa học mơ ước
- Credentials
- khách hàng
- dữ liệu
- hướng dữ liệu
- Phòng thủ
- giao hàng
- do
- làm
- dont
- DoorDash
- dễ dàng
- dễ dàng
- nhân viên
- Thuyết phúc âm
- chính xác
- Giải thích
- tạo điều kiện
- Công ty
- hãng
- tập trung
- Trong
- hình thức
- từ
- Full
- Thu được
- đạt được
- được
- mục tiêu
- tốt
- Nhóm
- tin tặc
- dấu hiệu
- Cứng
- công việc khó khăn
- Có
- he
- hy vọng
- GIỜ LÀM VIỆC
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- Bản sắc
- quản lý danh tính và truy cập
- in
- sự cố
- Bao gồm
- vô cùng
- thông tin
- ban đầu
- Sự thông minh
- nội bộ
- IT
- ITS
- jpg
- phím
- nổi tiếng
- Họ
- Trễ, muộn
- Led
- liên kết
- Danh sách
- Chức năng
- đăng nhập
- Rất nhiều
- gửi thư
- quản lý
- lớn
- Có thể..
- các biện pháp
- tin nhắn
- MFA
- Giảm nhẹ
- di động
- tiền
- chi tiết
- chủ yếu
- di chuyển
- xác thực nhiều yếu tố
- xác thực đa yếu tố
- tên
- Không
- số
- được
- thu được
- of
- OKTA
- on
- ONE
- khai thác
- or
- cơ quan
- tổ chức
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- kết thúc
- Vượt qua
- tổng quan
- trang
- bên
- Mật khẩu
- người
- riêng
- Lừa đảo
- Tấn công lừa đảo
- chiến dịch lừa đảo
- Trang web lừa đảo
- điện thoại
- chọn
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- có thể
- Bài đăng
- tiềm năng
- chính
- Xuất bản
- nhận
- gần đây
- công nhận
- đề nghị
- liên quan
- tương đối
- báo cáo
- Báo cáo
- nhà nghiên cứu
- Thông tin
- Trả lời
- dẫn
- Tiết lộ
- Nói
- tương tự
- Quy mô
- phạm vi
- an toàn
- an ninh
- cao cấp
- gởi
- nên
- hiển thị
- Đơn giản
- đơn giản
- Các trang web
- một số
- Một người nào đó
- bắt đầu
- Tuyên bố
- Vẫn còn
- ăn cắp
- trình
- thành công
- như vậy
- hệ thống
- hệ thống
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- đã dạy
- viễn thông
- nói
- văn bản
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- lý thuyết
- những
- mối đe dọa
- diễn viên đe dọa
- mối đe dọa tình báo
- Bị ràng buộc
- thời gian
- đến
- công cụ
- Twilio
- loại
- cuối cùng
- không xác định
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- sử dụng
- nhà cung cấp
- thông qua
- nạn nhân
- là
- we
- tuần
- đi
- là
- khi nào
- cái nào
- chiến thắng
- với
- ở trong
- Công việc
- đã viết
- nhưng
- zephyrnet