本文來(lái)自嘶吼網(wǎng),作者胡金魚(yú)。
據(jù)悉,針對(duì)Twilio和Cloudflare員工的攻擊與大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)有關(guān),該活動(dòng)導(dǎo)致130多個(gè)組織的9,931個(gè)帳戶遭到入侵。
研究人員表示,這些活動(dòng)與針對(duì)身份和訪問(wèn)管理公司Okta的攻擊有關(guān),該公司為威脅者取了0ktapus的綽號(hào)。
Group-IB研究人員在最近的一份報(bào)告中寫(xiě)道:“威脅者的主要目標(biāo)是從目標(biāo)組織的用戶那里獲取Okta身份憑證和多因素身份驗(yàn)證(MFA)代碼。”這些用戶收到的短信包含模仿其組織的Okta身份驗(yàn)證頁(yè)面的釣魚(yú)網(wǎng)站鏈接。
受影響的有114家美國(guó)公司,另有其他68個(gè)國(guó)家也受到了影響。Group-IB高級(jí)威脅情報(bào)分析師表示,攻擊范圍仍不得而知。
0ktapus黑客想要什么
根據(jù)Group-IB分析的受損數(shù)據(jù)分析,0ktapus攻擊者的攻擊目標(biāo)是電信公司。雖然不確定威脅者如何獲得用于MFA相關(guān)攻擊的電話號(hào)碼列表,但研究人員認(rèn)為,0ktapus攻擊者的攻擊目標(biāo)大概率是電信公司。
接下來(lái),攻擊者通過(guò)短信向目標(biāo)發(fā)送釣魚(yú)鏈接。這些鏈接指向模仿目標(biāo)雇主使用的Okta身份驗(yàn)證頁(yè)面的網(wǎng)頁(yè)。然后,受害者被要求提交Okta身份憑證以及員工用于保護(hù)其登錄信息的多因素身份驗(yàn)證(MFA)代碼。
在附帶的技術(shù)博客中,Group-IB的研究人員解釋說(shuō),最初主要針對(duì)軟件即服務(wù)公司的攻擊只是多管齊下的攻擊的第一階段。0ktapus的最終目標(biāo)是訪問(wèn)公司郵件列表或面向客戶的系統(tǒng),以期促進(jìn)供應(yīng)鏈攻擊。
在Group-IB發(fā)布報(bào)告的幾個(gè)小時(shí)內(nèi),DoorDash公司透露,它遭受了一次具有0ktapus式攻擊所有特征的攻擊。
爆炸半徑:MFA攻擊
DoorDash在博客文章中透露:“未經(jīng)授權(quán)的一方利用竊取的供應(yīng)商員工憑證訪問(wèn)了我們的一些內(nèi)部工具。”根據(jù)該帖子,攻擊者繼續(xù)竊取客戶和送貨員的個(gè)人信息,包括姓名、電話號(hào)碼、電子郵件和送貨地址。
Group-IB報(bào)告稱,攻擊者在攻擊過(guò)程中破解了5,441個(gè)MFA代碼。雖然MFA等安全措施看起來(lái)很安全,但很明顯,攻擊者可以用相對(duì)簡(jiǎn)單的工具攻破它們。
為了緩解0ktapus的活動(dòng),研究人員建議人們應(yīng)注意URL和密碼的安全,并使用符合FIDO2的安全密鑰進(jìn)行MFA。無(wú)論使用哪種MFA,都應(yīng)該向用戶傳授針對(duì)其MFA形式實(shí)施的常見(jiàn)攻擊類型、如何識(shí)別這些攻擊以及如何應(yīng)對(duì)。