“0ktapus”威胁集团的触角使130家公司受害

针对 Twilio 和 Cloudflare 员工的针对性攻击与大规模网络钓鱼活动有关，该活动导致 9,931 多个组织的 130 个帐户遭到入侵。 这些活动与研究人员对身份和访问管理公司 Okta 的集中滥用有关，该公司使威胁参与者获得了 0ktapus 的绰号。

“威胁参与者的主要目标是从目标组织的用户那里获取 Okta 身份凭证和多因素身份验证 (MFA) 代码，”Group-IB 研究人员写道 在最近的报告中. “这些用户收到的短信包含指向模仿其组织 Okta 身份验证页面的网络钓鱼站点的链接。”

受影响的有 114 家美国公司，另外还有 68 个国家/地区的受害者。

Group-IB 的高级威胁情报分析师 Roberto Martinez 表示，攻击的范围仍然未知。 他说：“0ktapus 活动取得了令人难以置信的成功，它的全部规模可能在一段时间内还不得而知。”

0ktapus 黑客想要什么

据信 0ktapus 攻击者通过瞄准电信公司开始他们的活动，希望能够获得潜在目标的电话号码。

虽然不确定攻击者究竟是如何获得用于 MFA 相关攻击的电话号码列表，但理论研究人员认为，0ktapus 攻击者开始了针对电信公司的活动。

研究人员写道：“[A] 根据 Group-IB 分析的受损数据，威胁行为者通过针对移动运营商和电信公司开始攻击，并且本可以从这些初始攻击中收集数据。”

接下来，攻击者通过短信向目标发送钓鱼链接。 这些链接指向模仿目标雇主使用的 Okta 身份验证页面的网页。 然后要求受害者提交 Okta 身份凭证以及员工用于保护其登录的多因素身份验证 (MFA) 代码。

在伴随 技术博客，Group-IB 的研究人员解释说，大多数软件即服务公司的最初妥协是多管齐下攻击的第一阶段。 0ktapus 的最终目标是访问公司邮件列表或面向客户的系统，以期促进供应链攻击。

在一个可能的相关事件中，在 Group-IB 上周晚些时候发布报告的几个小时内，DoorDash 公司透露，它是一次攻击的目标，具有 0ktapus 式攻击的所有特征。

爆炸半径：MFA 攻击

在一个 博客文章 DoorDash 透露； “未经授权的一方使用被盗的供应商员工凭据来访问我们的一些内部工具。” 根据该帖子，攻击者继续从客户和送货人员那里窃取个人信息，包括姓名、电话号码、电子邮件和送货地址。

据 Group-IB 报道，在其活动过程中，攻击者破坏了 5,441 个 MFA 代码。

“像 MFA 这样的安全措施看起来很安全……但很明显，攻击者可以用相对简单的工具来克服它们，”研究人员写道。

“这是又一次网络钓鱼攻击，表明对手绕过所谓的安全多因素身份验证是多么容易，”KnowBe4 的数据驱动防御布道者 Roger Grimes 通过电子邮件在一份声明中写道。 “将用户从容易被钓鱼的密码转移到容易被钓鱼的 MFA 根本没有好处。 这需要大量的努力、资源、时间和金钱，而不是为了获得任何好处。”

为了缓解 0ktapus 式的活动，研究人员建议在 URL 和密码周围保持良好的卫生习惯，并使用 FIDO2符合 MFA 的安全密钥。

“无论有人使用什么 MFA，”Grimes 建议，“用户应该了解针对他们的 MFA 形式实施的常见攻击类型，如何识别这些攻击，以及如何应对。 当我们告诉用户选择密码时，我们会这样做，但当我们告诉他们使用据称更安全的 MFA 时，我们不会这样做。”