“0ktapus"威胁组织触手伸及130家企业

超过130家公司卷入了一场广泛分布的钓鱼活动，该活动伪造了多因素认证系统。

针对Twilio和Cloudflare员工的定向攻击与一场大规模钓鱼活动有关，导致超过130个组织的9,931个账户被入侵。研究人员将这些活动与身份和访问管理公司Okta的集中滥用联系起来，威胁行为者因此获得了"0ktapus"的绰号。

Group-IB研究人员在最近的一份报告中写道：“威胁行为者的主要目标是从目标组织的用户那里获取Okta身份凭证和多因素认证（MFA）代码。这些用户收到了包含钓鱼网站链接的短信，这些网站模仿了他们组织的Okta认证页面。”

受影响的有114家美国公司，其他受害者分布在另外68个国家。

Group-IB的高级威胁情报分析师Roberto Martinez表示，攻击的范围仍然未知。“0ktapus活动取得了惊人的成功，其全部规模可能在一段时间内无法得知，“他说。

0ktapus黑客的目标

据信，0ktapus攻击者通过针对电信公司开始了他们的活动，希望获得潜在目标的电话号码访问权限。

虽然不确定威胁行为者究竟是如何获得用于MFA相关攻击的电话号码列表的，但研究人员提出的一个理论是，0ktapus攻击者通过针对电信公司开始了他们的活动。

研究人员写道："[根据Group-IB分析的受损数据，威胁行为者通过针对移动运营商和电信公司开始了他们的攻击，并可能从这些初始攻击中收集了电话号码。”

接下来，攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主使用的Okta认证页面的网页。然后，受害者被要求提交Okta身份凭证以及员工用于保护登录的多因素认证（MFA）代码。

在一篇配套的技术博客中，Group-IB的研究人员解释说，主要针对软件即服务公司的初始入侵是多管齐下攻击的第一阶段。0ktapus的最终目标是访问公司邮件列表或面向客户的系统，以期促进供应链攻击。

在一个可能相关的事件中，在Group-IB上周晚些时候发布报告后的几小时内，DoorDash公司透露，它成为了一次具有0ktapus式攻击所有特征的攻击的目标。

DoorDash在一篇博客文章中透露：“未经授权的一方使用供应商员工的被盗凭证访问了我们的一些内部工具。“根据该帖子，攻击者继续从客户和送货人员那里窃取个人信息，包括姓名、电话号码、电子邮件和送货地址。

Group-IB报告称，在其活动过程中，攻击者入侵了5,441个MFA代码。

研究人员写道：“MFA等安全措施可能看起来很安全……但很明显，攻击者可以用相对简单的工具克服它们。”

KnowBe4的数据驱动防御传播者Roger Grimes在一份通过电子邮件发送的声明中写道：“这是又一次钓鱼攻击，显示了对手绕过所谓安全的多因素认证是多么容易。将用户从容易钓鱼的密码转移到容易钓鱼的MFA根本没有好处。这是大量的艰苦工作、资源、时间和金钱，却没有得到任何好处。”

为了减轻0ktapus式活动，研究人员建议对URL和密码保持良好的卫生习惯，并使用符合FIDO2的安全密钥进行MFA。

Grimes建议：“无论某人使用什么MFA，都应该教导用户关于针对其MFA形式的常见攻击类型，如何识别这些攻击以及如何响应。我们在告诉用户选择密码时也是这样做的，但在告诉他们使用所谓更安全的MFA时却没有这样做。”