130余家企业陷入伪造多因素认证系统的广泛钓鱼攻击

针对Twilio和Cloudflare员工的定向攻击与一场大规模钓鱼活动有关，导致超过130个组织的9,931个账户遭到入侵。研究人员将这些攻击与身份和访问管理公司Okta的针对性滥用联系起来，因此给这些威胁行为者起了"0ktapus"的绰号。

Group-IB研究人员在最近的一份报告中写道：“威胁行为者的主要目标是从目标组织的用户那里获取Okta身份凭证和多因素认证代码。这些用户收到了包含钓鱼网站链接的短信，这些网站模仿了他们组织的Okta认证页面。”

受影响的企业包括114家美国公司，其他受害者分布在另外68个国家。

Group-IB高级威胁情报分析师Roberto Martinez表示，攻击的范围仍然未知。“0ktapus活动取得了惊人的成功，其全部规模可能在一段时间内都不会为人所知。”

0ktapus黑客的目标

据信，0ktapus攻击者通过瞄准电信公司开始了他们的活动，希望获得潜在目标的电话号码访问权限。

虽然不确定威胁行为者是如何获取用于MFA相关攻击的电话号码列表，但研究人员提出的一个理论是，0ktapus攻击者开始针对电信公司进行攻击。

研究人员写道：“根据Group-IB分析的受损数据，威胁行为者通过针对移动运营商和电信公司开始了攻击，并可能从这些初步攻击中收集了电话号码。”

接下来，攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主使用的Okta认证页面的网页。然后，受害者被要求提交Okta身份凭证以及员工用于保护登录的多因素认证代码。

在一篇配套的技术博客中，Group-IB的研究人员解释说，主要针对软件即服务公司的初步入侵是多管齐下攻击的第一阶段。0ktapus的最终目标是访问公司邮件列表或面向客户的系统，以期促进供应链攻击。

在一个可能相关的事件中，在Group-IB上周晚些时候发布报告后的几小时内，DoorDash公司透露它成为了一次具有0ktapus风格攻击所有特征的攻击目标。

攻击影响范围：MFA攻击

DoorDash在一篇博客文章中透露：“未经授权的一方使用供应商员工的被盗凭证访问了我们的一些内部工具。“根据该帖子，攻击者继续窃取客户和送货员的个人信息，包括姓名、电话号码、电子邮件和送货地址。

Group-IB报告称，在其活动过程中，攻击者入侵了5,441个MFA代码。

研究人员写道：“MFA等安全措施可能看起来很安全……但很明显，攻击者可以用相对简单的工具克服它们。”

KnowBe4的数据驱动防御传播者Roger Grimes在通过电子邮件发表的声明中写道：“这又是一次钓鱼攻击，显示了对手绕过 supposedly 安全的多因素认证是多么容易。将用户从易受钓鱼攻击的密码转移到易受钓鱼攻击的MFA根本没有好处。这是大量的艰苦工作、资源、时间和金钱，却没有得到任何好处。”

为了减轻0ktapus风格的活动，研究人员建议对URL和密码保持良好的卫生习惯，并使用符合FIDO2标准的安全密钥进行MFA。

Grimes建议：“无论使用何种MFA，都应该教导用户针对其MFA形式的常见攻击类型、如何识别这些攻击以及如何应对。我们在告诉用户选择密码时这样做，但在告诉他们使用 supposedly 更安全的MFA时却没有这样做。”