據(jù)悉,針對(duì) Twilio 和 Cloudflare 員工的攻擊與大規(guī)模網(wǎng)絡(luò)釣魚活動(dòng)有關(guān),該活動(dòng)導(dǎo)致 130 多個(gè)組織的 9,931 個(gè)帳戶遭到入侵。
研究人員表示,這些活動(dòng)與針對(duì)身份和訪問管理公司 Okta 的攻擊有關(guān)��,該公司為威脅者取了 0ktapus 的綽號(hào)�����。
Group-IB 研究人員在最近的一份報(bào)告中寫道:“威脅者的主要目標(biāo)是從目標(biāo)組織的用戶那里獲取 Okta 身份憑證和多因素身份驗(yàn)證 (MFA) 代碼�。”這些用戶收到的短信包含模仿其組織的 Okta 身份驗(yàn)證頁面的釣魚網(wǎng)站鏈接���。
受影響的有 114 家美國(guó)公司����,另有其他 68 個(gè)國(guó)家也受到了影響���。Group-IB 高級(jí)威脅情報(bào)分析師表示�,攻擊范圍仍不得而知�����。
0ktapus 黑客想要什么
根據(jù) Group-IB 分析的受損數(shù)據(jù)分析����,0ktapus 攻擊者的攻擊目標(biāo)是電信公司����。雖然不確定威脅者如何獲得用于 MFA 相關(guān)攻擊的電話號(hào)碼列表�����,但研究人員認(rèn)為���,0ktapus 攻擊者的攻擊目標(biāo)大概率是電信公司����。
接下來��,攻擊者通過短信向目標(biāo)發(fā)送釣魚鏈接����。這些鏈接指向模仿目標(biāo)雇主使用的 Okta 身份驗(yàn)證頁面的網(wǎng)頁。然后���,受害者被要求提交 Okta 身份憑證以及員工用于保護(hù)其登錄信息的多因素身份驗(yàn)證 (MFA) 代碼����。
在附帶的技術(shù)博客中,Group-IB 的研究人員解釋說����,最初主要針對(duì)軟件即服務(wù)公司的攻擊只是多管齊下的攻擊的第一階段。0ktapus 的最終目標(biāo)是訪問公司郵件列表或面向客戶的系統(tǒng)�����,以期促進(jìn)供應(yīng)鏈攻擊��。
在 Group-IB 發(fā)布報(bào)告的幾個(gè)小時(shí)內(nèi)��,DoorDash 公司透露���,它遭受了一次具有 0ktapus 式攻擊所有特征的攻擊。
爆炸半徑:MFA 攻擊
DoorDash 在博客文章中透露:“未經(jīng)授權(quán)的一方利用竊取的供應(yīng)商員工憑證訪問了我們的一些內(nèi)部工具����。”根據(jù)該帖子,攻擊者繼續(xù)竊取客戶和送貨員的個(gè)人信息�,包括姓名、電話號(hào)碼�、電子郵件和送貨地址。
Group-IB 報(bào)告稱,攻擊者在攻擊過程中破解了 5,441 個(gè) MFA 代碼����。雖然 MFA 等安全措施看起來很安全,但很明顯�����,攻擊者可以用相對(duì)簡(jiǎn)單的工具攻破它們��。
為了緩解 0ktapus 的活動(dòng)�,研究人員建議人們應(yīng)注意 URL 和密碼的安全,并使用符合 FIDO2 的安全密鑰進(jìn)行 MFA�����。無論使用哪種 MFA����,都應(yīng)該向用戶傳授針對(duì)其 MFA 形式實(shí)施的常見攻擊類型、如何識(shí)別這些攻擊以及如何應(yīng)對(duì)����。
參考及來源:https://threatpost.com/0ktapus-victimize-130-firms/180487/
來源: 嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761