概述

超过130家企业卷入一场广泛网络钓鱼活动，攻击者伪造多因素认证系统实施入侵。针对Twilio和Cloudflare员工的定向攻击与大规模钓鱼活动相关，导致9931个账户凭证泄露。研究人员将这些活动与身份管理公司Okta的滥用关联，并为威胁行为体赋予“0ktapus”代号。

攻击手法分析

Group-IB研究人员在近期报告中指出：“威胁行为体的主要目标是获取目标组织用户的Okta身份凭证和多因素认证（MFA）代码。这些用户收到包含钓鱼链接的短信，这些链接模仿了其组织的Okta认证页面。”

受影响企业包括114家美国公司，其他受害者遍布68个国家。Group-IB高级威胁情报分析师Roberto Martinez表示：“0ktapus活动异常成功，其全面影响可能需时才能完全显现。”

攻击链剖析

研究人员认为，0ktapus攻击者最初针对电信公司，试图获取潜在目标的电话号码。虽然不确定威胁行为体如何获得用于MFA相关攻击的电话号码列表，但一种理论是攻击者从初始攻击中收集了这些号码。

攻击者通过短信向目标发送钓鱼链接，这些链接导向模仿目标雇主使用的Okta认证页面。受害者被要求提交Okta身份凭证以及用于保护登录的多因素认证代码。

技术细节与影响范围

在配套技术博客中，Group-IB研究人员解释，对多数软件即服务公司的初始入侵是多方面攻击的第一阶段。0ktapus的最终目标是访问公司邮件列表或面向客户的系统，以促进供应链攻击。

在可能相关的事件中，Group-IB报告发布后数小时内，DoorDash披露其遭受具有0ktapus风格攻击特征的事件。攻击者利用被盗供应商员工凭证访问内部工具，窃取客户和配送员的个人信息。

MFA安全性的反思

此次攻击中，攻击者窃取了5441个MFA代码。研究人员指出：“MFA等安全措施看似安全……但显然攻击者可以用相对简单的工具克服它们。”

KnowBe4数据驱动防御传播者Roger Grimes强调：“这再次证明对手如何轻易绕过所谓安全的多因素认证。从易受钓鱼的密码转向易受钓鱼的MFA毫无益处。”

防护建议

为缓解0ktapus风格攻击，研究人员建议加强URL和密码管理，并使用符合FIDO2标准的安全密钥进行MFA。Grimes建议：“无论使用何种MFA，都应教育用户了解常见攻击类型、识别方法及应对措施。我们在要求用户设置密码时会这样做，但在使用所谓更安全的MFA时却未遵循相同原则。”