'0ktapus'威胁组织的触角已侵袭130家公司
超过130家公司卷入了一场仿冒多因素认证系统的广泛钓鱼攻击活动中。
针对Twilio和Cloudflare员工的定向攻击与一场大规模钓鱼活动有关,导致超过130个组织的9,931个账户遭到入侵。研究人员发现,这些攻击活动与身份和访问管理公司Okta被集中滥用有关,该威胁组织因此得名"0ktapus"。
"攻击者的主要目标是获取目标组织用户的Okta身份凭证和多因素认证(MFA)验证码,"Group-IB研究人员在最近的报告中写道,"这些用户收到了包含钓鱼网站链接的短信,这些网站模仿了其所在组织的Okta认证页面。"
受影响的企业包括114家美国公司,其他受害者还分布在68个其他国家。
Group-IB高级威胁情报分析师Roberto Martinez表示,攻击的范围仍是未知数。"0ktapus攻击活动取得了惊人的成功,其完整规模可能在一段时间内都无法确定。"
0ktapus黑客的目标
据信,0ktapus攻击者最初以电信公司为目标展开活动,希望获取潜在目标的电话号码。
虽然不确定攻击者如何获取用于MFA相关攻击的电话号码列表,但研究人员提出的一个理论是,0ktapus攻击者最初针对电信公司展开攻击。
"根据Group-IB分析的被入侵数据,攻击者最初以移动运营商和电信公司为目标展开攻击,可能从这些初始攻击中收集了电话号码,"研究人员写道。
随后,攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主使用的Okta认证页面的网页。受害者被要求提交Okta身份凭证以及用于保护登录安全的多因素认证(MFA)验证码。
在相关的技术博客中,Group-IB研究人员解释说,最初主要针对软件即服务公司的入侵只是多管齐下攻击的第一阶段。0ktapus的最终目标是访问公司邮件列表或面向客户的系统,以期促成供应链攻击。
在一个可能相关的事件中,在Group-IB上周晚些时候发布报告后的几小时内,DoorDash公司透露其遭受了具有0ktapus风格攻击所有特征的攻击。
影响范围:MFA攻击
DoorDash在一篇博客文章中透露:"未经授权的第三方利用供应商员工的被盗凭证访问了我们的一些内部工具。"据该文章称,攻击者随后窃取了客户和配送员的个人信息,包括姓名、电话号码、电子邮件和配送地址。
Group-IB报告称,在其攻击活动中,攻击者共窃取了5,441个MFA验证码。
"诸如MFA这样的安全措施可能看起来很安全……但很明显,攻击者可以用相对简单的工具克服它们,"研究人员写道。
"这又是一次钓鱼攻击,显示了对手如何轻易绕过所谓安全的多因素认证,"KnowBe4的数据驱动防御传播者Roger Grimes在通过电子邮件发表的声明中写道,"将用户从易受钓鱼攻击的密码转移到易受钓鱼攻击的MFA,根本没有任何好处。这是大量的艰苦工作、资源、时间和金钱,却没有获得任何收益。"
为减轻0ktapus式攻击活动的影响,研究人员建议保持良好的URL和密码卫生习惯,并使用符合FIDO2标准的安全密钥进行MFA。
"无论使用何种MFA,"Grimes建议,"都应该教育用户了解针对其MFA形式的常见攻击类型、如何识别这些攻击以及如何应对。我们在告诉用户设置密码时会这样做,但在告诉他们使用所谓更安全的MFA时却没有这样做。"