超过130家公司卷入了一场精心策划的钓鱼攻击活动，该活动伪造了一个多因素身份认证系统。

针对Twilio和Cloudflare员工的定向攻击与一场大规模钓鱼活动有关，该活动导致超过130家组织的9,931个账户被入侵。研究人员将这些活动与专门针对身份和访问管理公司Okta的滥用行为联系起来，并因此为该威胁行为者冠以“0ktapus”的绰号。 “威胁行为者的主要目标是获取目标组织用户的Okta身份凭证和多因素身份认证（MFA）码，”Group-IB的研究人员在一份最近的报告中写道。“这些用户收到了包含链接的短信，这些链接指向模仿其组织Okta认证页面的钓鱼网站。” 受影响的包括114家美国公司，其他受害者则散布在另外68个国家。 Group-IB的高级威胁情报分析师Roberto Martinez表示，此次攻击的范围仍属未知。“0ktapus活动取得了惊人的成功，其全部规模可能在一段时间内都无法完全掌握，”他说。

0ktapus黑客的目标

据信，0ktapus攻击者通过针对电信公司开始了他们的活动，希望获得潜在目标的电话号码访问权限。 虽然不确定威胁行为者是如何获取用于MFA相关攻击的电话号码列表，但研究人员提出的一种理论是，0ktapus攻击者通过针对电信公司开始了他们的活动。 “根据Group-IB分析的泄露数据，威胁行为者最初以移动运营商和电信公司为目标发起攻击，并可能从这些初始攻击中收集了电话号码，”研究人员写道。 接下来，攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主所使用的Okta认证页面的网页。随后，受害者被要求提交Okta身份凭证以及用于保护登录的多因素身份认证（MFA）码。 在随附的技术博客中，Group-IB的研究人员解释说，对主要是软件即服务（SaaS）公司的初步入侵是多管齐下攻击的第一阶段。0ktapus的最终目标是访问公司邮件列表或面向客户的系统，以期推动供应链攻击。 在一件可能相关的事件中，就在Group-IB上周晚些时候发布报告的几个小时内，DoorDash公司透露其遭受了一次攻击，该攻击具有所有0ktapus式攻击的特征。

攻击影响范围：MFA攻击

DoorDash在一篇博客文章中透露：“未经授权的一方使用了供应商员工的被盗凭证来访问我们的一些内部工具。”根据文章内容，攻击者随后窃取了客户和配送员的个人信息，包括姓名、电话号码、电子邮件和配送地址。 Group-IB报告称，在其活动过程中，攻击者窃取了5,441个MFA码。 “像MFA这样的安全措施可能看起来很安全……但很明显，攻击者可以用相对简单的工具来绕过它们，”研究人员写道。 “这又是一次钓鱼攻击，显示了对手绕过所谓安全的多因素身份认证是多么容易，”KnowBe4的数据驱动防御布道者Roger Grimes在一份通过电子邮件发表的声明中写道。“将用户从容易被钓鱼的密码转移到容易被钓鱼的MFA，这毫无益处。我们投入了大量艰苦的工作、资源、时间和金钱，却没有获得任何好处。” 为了缓解0ktapus式的攻击活动，研究人员建议在URL和密码方面保持良好的卫生习惯，并使用符合FIDO2标准的安全密钥进行MFA。 “无论某人使用何种MFA，”Grimes建议，“都应该教导用户了解针对其MFA形式的常见攻击类型、如何识别这些攻击以及如何应对。当我们告诉用户设置密码时会这样做，但当我们告诉他们使用所谓更安全的MFA时却没有这样做。”