Tentacles of ‘0ktapus’ Threat Group Victimize 130 Firms

作者：Nate Nelson
2022年8月29日 上午10:56

超过130家公司卷入了一场仿冒多因素认证系统的广泛网络钓鱼活动。

针对Twilio和Cloudflare员工的定向攻击与一场大规模网络钓鱼活动有关，导致超过130个组织的9,931个账户被入侵。研究人员将这些活动与身份和访问管理公司Okta的滥用联系起来，并为威胁行为者赢得了“0ktapus”的绰号。

“威胁行为者的主要目标是从目标组织的用户那里获取Okta身份凭据和多因素认证（MFA）代码，”Group-IB研究人员在最近的一份报告中写道。“这些用户收到了包含仿冒其组织Okta认证页面的钓鱼网站链接的短信。”

受影响的公司中有114家位于美国，其他受害者分布在另外68个国家。

Group-IB的高级威胁情报分析师Roberto Martinez表示，攻击的范围仍然未知。“0ktapus活动取得了惊人的成功，其全部规模可能在一段时间内无法得知，”他说。

0ktapus黑客的目标

据信，0ktapus攻击者通过针对电信公司开始了他们的活动，希望获得潜在目标的电话号码访问权限。

虽然不确定威胁行为者是如何获取用于MFA相关攻击的电话号码列表的，但研究人员提出的一个理论是，0ktapus攻击者通过针对电信公司开始了他们的活动。

“[根据Group-IB分析的被泄露数据，威胁行为者通过针对移动运营商和电信公司开始了攻击，并可能从这些初始攻击中收集了电话号码，”研究人员写道。

接下来，攻击者通过短信向目标发送钓鱼链接。这些链接指向仿冒目标雇主使用的Okta认证页面的网页。然后，受害者被要求提交Okta身份凭据以及员工用于保护登录的多因素认证（MFA）代码。

在一篇附带的技术博客中，Group-IB的研究人员解释说，对大多数软件即服务公司的初始入侵是多方面攻击的第一阶段。0ktapus的最终目标是访问公司邮件列表或面向客户的系统，以期促进供应链攻击。

在一个可能相关的事件中，在Group-IB上周晚些时候发布报告后的几个小时内，公司DoorDash透露，它成为了一次具有0ktapus式攻击所有特征的攻击的目标。

爆炸半径：MFA攻击

DoorDash在一篇博客文章中透露：“未经授权的方使用供应商员工的被盗凭据访问了我们的一些内部工具。”根据该帖子，攻击者继续从客户和送货人员那里窃取个人信息，包括姓名、电话号码、电子邮件和送货地址。

在其活动过程中，攻击者入侵了5,441个MFA代码，Group-IB报告。

“像MFA这样的安全措施可能看起来很安全……但很明显，攻击者可以用相对简单的工具克服它们，”研究人员写道。

“这又是一次网络钓鱼攻击，显示了对手如何轻松绕过 supposedly 安全的多因素认证，”KnowBe4的数据驱动防御传播者Roger Grimes在一封电子邮件声明中写道。“将用户从容易受到网络钓鱼攻击的密码转移到容易受到网络钓鱼攻击的MFA根本没有好处。这是大量的艰苦工作、资源、时间和金钱，却没有得到任何好处。”

为了减轻0ktapus式活动，研究人员建议对URL和密码保持良好的卫生习惯，并使用符合FIDO2的安全密钥进行MFA。

“无论某人使用什么MFA，”Grimes建议，“都应该教育用户关于针对其MFA形式的常见攻击类型，如何识别这些攻击以及如何响应。我们在告诉用户选择密码时这样做，但在告诉他们使用 supposedly 更安全的MFA时却没有这样做。”