130 月初めに Twilio と Cloudflare に侵入したハッカーは、同じキャンペーンで他の 10,000 以上の組織にも侵入し、2 セット近くの Okta および XNUMX 要素認証 (XNUMXFA) 認証情報を吸い出しました。
これは Group-IB の調査によるもので、0ktapus と呼ばれる大規模なフィッシング キャンペーンの標的となった組織の中に、いくつかの有名な組織が含まれていることが判明しました。おとりは、ユーザーがパスワードをリセットする必要があるという偽の通知など、単純なものでした。これらは、特定の各組織の Okta 認証ページをミラーリングする静的フィッシング サイトへのリンクを含むテキストを通じて送信されました。
「低スキルの手法を使用したにもかかわらず、[グループは]多数の有名な組織を侵害することができた」と研究者らは論文で述べた。 今日のブログ記事。 「さらに、攻撃者が組織に侵入すると、すぐに方向転換してその後のサプライチェーン攻撃を開始することができました。これは、攻撃が事前に慎重に計画されていたことを示しています。」
の場合もそうでした Twilio 侵害 攻撃者はソーシャル エンジニアリングを行って、複数の従業員に組織全体のシングル サインオンに使用される Okta 資格情報を引き渡し、内部システム、アプリケーション、顧客データにアクセスできるようにしました。この侵害は、Twilio の電話認証やその他のサービスを利用する約 4 の下流組織に影響を及ぼしました。その中には、 ステートメント 約1,900人のユーザーがこの事件で電話番号を乗っ取られた可能性があることが確認された。
標的となった 130 社の大部分は米国の SaaS およびソフトウェア企業でした。 サプライチェーン攻撃の性質.
たとえば、このキャンペーンの追加の被害者には、電子メール マーケティング会社 Klaviyo や Mailchimp。どちらの場合も、詐欺師は、Mailchimp の顧客である DigitalOcean (その後、 プロバイダーを落とした).
In クラウドフレアの場合、一部の従業員がこの策略に引っかかりましたが、すべての内部アプリケーションにアクセスするために必要な物理的なセキュリティ キーが全従業員に発行されたおかげで攻撃は阻止されました。
Grip Security の CEO 兼共同創設者である Lior Yaari 氏は、Group IB の調査結果以外の侵害の範囲と原因はまだ不明であるため、さらなる被害者が明らかになる可能性があると指摘しています。
「SaaS アプリのすべてのユーザーを特定することは、セキュリティ チームにとって、特にユーザーが独自のログイン名とパスワードを使用している場合には、必ずしも簡単ではありません」と彼は警告します。 「シャドウ SaaS の検出は単純な問題ではありませんが、シャドウ SaaS のユーザー パスワードを検出してリセットできるソリューションは存在します。」
IAM を再考する時期が来ていますか?
全体として、このキャンペーンの成功は、ソーシャル エンジニアリングの検出を人間に依存することの問題点と、既存のシステムのギャップを示しています。 アイデンティティとアクセス管理 (IAM) が近づいてきます。
「この攻撃は、今日の IAM がいかに脆弱であるかを示しており、なぜ業界はソーシャル エンジニアリングや高度なフィッシング攻撃の影響を受けやすい従業員からログインとパスワードの負担を取り除くことを検討する必要があるのかを示しています」と Yaari 氏は言います。 「企業ができる積極的な修復努力は、ユーザーにすべてのパスワードをリセットさせることです。 特にオクタに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
この事件はまた、企業が現代の分散型労働力において生産性を高めるために従業員のモバイル エンドポイントへのアクセスにますます依存していることを指摘しており、0ktapus アクターのような攻撃者にとって新たな豊かなフィッシング グラウンドを生み出していると、同社の脅威レポート担当ディレクターの Richard Melick 氏は述べています。ジンペリウム。
「フィッシングからネットワークの脅威、悪意のあるアプリケーションから侵害されたデバイスに至るまで、モバイルの攻撃対象領域が自社のデータとアクセスへの最大の無防備なベクトルであることを企業が認識することが重要である」と同氏は電子メールでの声明で述べた。
