“0ktapus"威胁组织触角伸向130家企业 | Threatpost

作者：Nate Nelson
2022年8月29日上午10:56
阅读时间：2分30钟

超过130家企业卷入了一场仿冒多因素认证（MFA）系统的广泛钓鱼攻击活动。

针对Twilio和Cloudflare员工的定向攻击与大规模钓鱼活动相关，导致超过130个组织的9,931个账户被入侵。研究人员将这些活动与针对身份和访问管理公司Okta的集中滥用联系起来，因此给这些威胁行为者起了"0ktapus"的绰号。

Group-IB研究人员在最近的一份报告中写道：“威胁行为者的主要目标是从目标组织的用户那里获取Okta身份凭证和多因素认证（MFA）代码。这些用户收到了包含钓鱼网站链接的短信，这些网站模仿了他们组织的Okta认证页面。”

受影响的企业包括114家美国公司，其他受害者分布在另外68个国家。

Group-IB的高级威胁情报分析师Roberto Martinez表示，攻击的范围仍然未知。“0ktapus活动取得了惊人的成功，其全部规模可能在一段时间内无法得知，“他说。

0ktapus黑客的目标

据信，0ktapus攻击者通过针对电信公司开始了他们的活动，希望获得潜在目标的电话号码访问权限。

虽然不确定威胁行为者究竟如何获取用于MFA相关攻击的电话号码列表，但研究人员提出的一个理论是，0ktapus攻击者通过针对电信公司开始了他们的活动。

研究人员写道："[根据Group-IB分析的受损数据，威胁行为者通过针对移动运营商和电信公司开始了攻击，并可能从这些初始攻击中收集了电话号码。”

接下来，攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主使用的Okta认证页面的网页。然后，受害者被要求提交Okta身份凭证以及员工用于保护登录的多因素认证（MFA）代码。

在一篇配套的技术博客中，Group-IB的研究人员解释说，对大多数软件即服务（SaaS）公司的初始入侵是多管齐下攻击的第一阶段。0ktapus的最终目标是访问公司邮件列表或面向客户的系统，以期促进供应链攻击。

在一个可能相关的事件中，在Group-IB上周晚些时候发布报告后的几小时内，DoorDash公司透露它成为了一次具有所有0ktapus式攻击特征的攻击目标。

DoorDash在一篇博客文章中透露：“未经授权的一方使用供应商员工的被盗凭证访问了我们的一些内部工具。“根据该帖子，攻击者继续从客户和送货人员那里窃取个人信息，包括姓名、电话号码、电子邮件和送货地址。

Group-IB报告称，在其活动过程中，攻击者入侵了5,441个MFA代码。

研究人员写道：“MFA等安全措施可能看起来很安全……但很明显，攻击者可以用相对简单的工具克服它们。”

KnowBe4的数据驱动防御传播者Roger Grimes在一封电子邮件声明中写道：“这是又一次钓鱼攻击，显示了对手如何轻松绕过 supposedly 安全的多因素认证。将用户从易受钓鱼攻击的密码转移到易受钓鱼攻击的MFA根本没有好处。这是大量的艰苦工作、资源、时间和金钱，却没有得到任何好处。”

为了减轻0ktapus式活动，研究人员建议对URL和密码保持良好的卫生习惯，并使用符合FIDO2标准的安全密钥进行MFA。

Grimes建议：“无论使用哪种MFA，都应该教导用户关于针对其MFA形式的常见攻击类型，如何识别这些攻击以及如何响应。我们在告诉用户选择密码时这样做，但在告诉他们使用 supposedly 更安全的MFA时却没有这样做。”