130월 초 Twilio 및 Cloudflare를 침해한 해커는 동일한 캠페인에서 10,000개 이상의 다른 조직에 침투하여 거의 2개의 Okta 및 이중 인증(XNUMXFA) 자격 증명을 진공 청소기로 청소했습니다.
Group-IB의 조사에 따르면 여러 유명 조직이 0ktapus라고 하는 대규모 피싱 캠페인의 대상이 된 것으로 나타났습니다. 사용자가 비밀번호를 재설정해야 한다는 가짜 알림과 같이 미끼는 간단했습니다. 각 특정 조직의 Okta 인증 페이지를 미러링하는 정적 피싱 사이트로 연결되는 링크가 포함된 텍스트를 통해 전송되었습니다.
연구원들은 "저숙련 방법을 사용했음에도 불구하고 [그룹]은 다수의 잘 알려진 조직을 손상시킬 수 있었습니다."라고 말했습니다. 오늘 블로그 게시물. “게다가 공격자가 조직을 침해한 후에는 신속하게 후속 공급망 공격을 피벗하고 실행할 수 있어 공격이 사전에 신중하게 계획되었음을 나타냅니다.”
경우가 그랬다. 트윌리오 위반 공격자는 소셜 엔지니어링을 통해 여러 직원에게 조직 전체의 싱글 사인온에 사용되는 Okta 자격 증명을 넘겨주어 내부 시스템, 애플리케이션 및 고객 데이터에 액세스할 수 있도록 했습니다. 이 침해는 Twilio의 전화 확인 및 기타 서비스를 사용하는 약 4개의 다운스트림 조직에 영향을 미쳤습니다. 문 이 사건에서 약 1,900명의 사용자가 전화번호를 탈취했을 수 있음을 확인했습니다.
목표로 삼은 130개 회사의 대부분은 미국의 SaaS 및 소프트웨어 회사였습니다. 공격의 공급망 특성.
예를 들어, 캠페인의 추가 피해자에는 이메일 마케팅 회사인 Klaviyo 및 Mailchimp. 두 경우 모두 사기꾼은 Mailchimp 고객 DigitalOcean(이후 공급자를 삭제했습니다).
In Cloudflare의 경우, 일부 직원은 속임수에 빠졌지만 모든 내부 응용 프로그램에 액세스하는 데 필요한 모든 직원에게 발급된 물리적 보안 키 덕분에 공격이 저지되었습니다.
Grip Security의 CEO이자 공동 설립자인 Lior Yaari는 Group IB의 조사 결과를 넘어선 침해의 범위와 원인이 아직 알려지지 않았으므로 추가 피해자가 밝혀질 수 있다고 말합니다.
그는 "SaaS 앱의 모든 사용자를 식별하는 것이 보안 팀, 특히 사용자가 자신의 로그인과 비밀번호를 사용하는 경우 항상 쉬운 것은 아닙니다."라고 경고합니다. "Shadow SaaS 검색은 간단한 문제가 아니지만, Shadow SaaS에 대한 사용자 암호를 검색하고 재설정할 수 있는 솔루션이 있습니다."
IAM을 재고할 시간입니까?
전반적으로 캠페인의 성공은 사회 공학을 감지하기 위해 인간에 의존하는 문제와 기존의 격차를 보여줍니다. 신원 및 액세스 관리 (IAM) 접근합니다.
Yaari는 "이 공격은 오늘날 IAM이 얼마나 취약한지, 왜 업계가 사회 공학 및 정교한 피싱 공격에 취약한 직원의 로그인 및 암호 부담을 제거하는 것에 대해 고려해야 하는지를 보여줍니다."라고 말했습니다. "기업이 할 수 있는 최선의 사전 예방 조치는 사용자가 모든 비밀번호를 재설정하도록 하는 것입니다. 특히 옥타. "
또한 이 사건은 기업이 현대적으로 분산된 인력에서 생산성을 높이기 위해 직원의 모바일 엔드포인트 액세스에 점점 더 의존하고 있다는 점을 지적하고 있습니다. 짐페륨.
그는 이메일 성명에서 "피싱에서 네트워크 위협, 악성 애플리케이션, 손상된 장치에 이르기까지 기업은 모바일 공격 표면이 데이터 및 액세스에 대한 가장 큰 보호되지 않은 벡터라는 사실을 인식하는 것이 중요하다"고 적었다.
