Over 130 virksomheder viklet ind i en sprudlende phishing-kampagne, der forfalskede et multifaktorautentificeringssystem.
Målrettede angreb på Twilio- og Cloudflare-medarbejdere er knyttet til en massiv phishing-kampagne, der resulterede i, at 9,931 konti hos over 130 organisationer blev kompromitteret. Kampagnerne er knyttet til fokuseret misbrug af identitets- og adgangsstyringsfirmaet Okta, som fik trusselsaktørerne 0ktapus moniker, af forskere.
“Trusselsaktørernes primære mål var at opnå Okta-identitetsoplysninger og multifaktorautentificering (MFA) koder fra brugere af de målrettede organisationer,” skrev Group-IB-forskere i en nylig rapport. “Disse brugere modtog tekstbeskeder, der indeholdt links til phishing-websteder, der efterlignede Okta-godkendelsessiden i deres organisation.” “0ktapus-kampagnen har været utrolig vellykket, og det fulde omfang af det er måske ikke kendt i nogen tid,”
Det skriver Roberto Martinez, senior trusselsefterretningsanalytiker hos Group-IB
“0ktapus-kampagnen har været utrolig vellykket, og det fulde omfang af det er måske ikke kendt i nogen tid,” sagde han.
Påvirket var 114 amerikanske virksomheder, med yderligere ofre for drysset over 68 yderligere lande. Omfanget af angrebene stadig er ukendt.
Hvad 0ktapus-hackerne ønskede
0ktapus-angriberne menes at have indledt deres kampagne med at målrette teleselskaber i håb om at vinde adgang til potentielle måls telefonnumre.
Mens de er usikre på, hvordan trusselsaktører fik en liste over telefonnumre, der blev brugt i MFA-relaterede angreb, er en teori, som forskere hævder, at 0ktapus-angribere begyndte deres kampagne rettet mod teleselskaber.
“I forhold til de kompromitterede data analyseret af Group-IB, truede aktørerne startede deres angreb ved at målrette mobiloperatører og teleselskaber og kunne have indsamlet numrene fra de indledende angreb,” skrev forskerene.
Dernæst sendte angribere phishing-links til mål via tekstbeskeder. Disse links førte til websider, der efterlignede Okta-godkendelsessiden, der blev brugt af målets arbejdsgiver. Ofre blev derefter bedt om at indsende Okta-identitetsoplysninger ud over en multifaktorautentificeringskode (MFA), som medarbejderne brugte til at sikre deres logins.
I en ledsagende teknisk blog forklarer forskere ved Group-IB, at de indledende kompromiser fra for det meste software-as-a-service-virksomheder var en fase-et i et flerstrenget angreb. 0ktapus ultimative mål var at få adgang til virksomhedens mailinglister eller kundevendte systemer i håb om at lette forsyningskædeangreb.
I en mulig relateret hændelse, inden for få timer efter Group-IB offentliggjorde sin rapport i slutningen af sidste uge, afslørede firmaet DoorDash, at det var målrettet i et angreb med alle kendetegnene for et 0ktapus-stil angreb.
Eksplosionsradius: MFA-angreb
I et blogindlæg afslørede DoorDash; “Uautoriseret part brugte de stjålne legitimationsoplysninger fra leverandørmedarbejdere til at få adgang til nogle af vores interne værktøjer.” Angriberne fortsatte ifølge opslaget med at stjæle personlige oplysninger – herunder navne, telefonnumre, e-mail- og leveringsadresser – fra kunder og leveringsfolk.
I løbet af sin kampagne kompromitterede angriberen 5.441 MFA-koder, rapporterede Group-IB.
“Sikkerhedsforanstaltninger som MFA kan virke sikre … men det er klart, at angribere kan overvinde dem med relativt enkle værktøjer,” forskerne skrev.
“Dette er endnu et phishing-angreb, der viser, hvor let det er for modstandere at omgå angiveligt sikker multifaktorautentificering,” skrev Roger Grimes, datadrevet forsvarsevangelist hos KnowBe4, i en erklæring via e-mail. “Det nytter simpelthen ikke noget at flytte brugere fra let phish-kompatible adgangskoder til let phish-able MFA. Det er meget hårdt arbejde, ressourcer, tid og penge, ikke at få nogen fordel.”
For at afbøde kampagner i 0ktapus-stil anbefalede forskerne god hygiejne omkring webadresser og adgangskoder og ved hjælp af FIDO2-kompatible sikkerhedsnøgler til MFA.
“Uanset hvilken MFA nogen bruger,” rådede Grimes, “bør brugeren undervises om de almindelige typer angreb, der begås mod deres form for MFA, hvordan man genkender disse angreb, og hvordan man reagerer. Vi gør det samme, når vi beder brugerne om at vælge adgangskoder, men gør det ikke, når vi beder dem om at bruge angiveligt mere sikker MFA.”
Kilde: Treatpost
Foto: Stocks.Adobe.com