Хакеры Twilio используют 10 XNUMX учетных данных Okta для масштабной атаки на цепочку поставок

Хакеры, взломавшие Twilio и Cloudflare ранее в августе, также проникли в более чем 130 других организаций в рамках той же кампании, очистив почти 10,000 2 наборов учетных данных Okta и двухфакторной аутентификации (XNUMXFA).

Об этом говорится в расследовании Group-IB, которое показало, что несколько известных организаций были среди тех, кто стал мишенью масштабной фишинговой кампании, которую они называют 0ktapus. Приманки были простыми, например, фальшивые уведомления о том, что пользователям нужно сбросить свои пароли. Они были отправлены в виде текстов со ссылками на статические фишинговые сайты, отражающие страницу аутентификации Okta каждой конкретной организации.

«Несмотря на использование низкоквалифицированных методов, [группа] смогла скомпрометировать большое количество известных организаций», — заявили исследователи в сообщение в блоге сегодня. «Кроме того, как только злоумышленники скомпрометировали организацию, они смогли быстро развернуться и запустить последующие атаки на цепочку поставок, что указывает на то, что атака была тщательно спланирована заранее».

Так было с Нарушение Twilio Это произошло 4 августа. Злоумышленники смогли с помощью социальной инженерии заставить нескольких сотрудников передать свои учетные данные Okta, используемые для единого входа в организацию, что позволило им получить доступ к внутренним системам, приложениям и данным клиентов. Нарушение затронуло около 25 нижестоящих организаций, которые используют проверку телефона Twilio и другие сервисы, включая Signal, который выпустил заявление подтверждая, что в ходе инцидента могли быть украдены телефонные номера около 1,900 пользователей.

Большинство из 130 целевых компаний были SaaS и софтверными компаниями в США, что неудивительно, учитывая цепь поставок характер атаки.

Например, дополнительные жертвы кампании включают компании по маркетингу электронной почты Klaviyo и Mailchimp. В обоих случаях мошенники украли имена, адреса, адреса электронной почты и номера телефонов своих клиентов, связанных с криптовалютой, в том числе клиента Mailchimp DigitalOcean (который впоследствии сбросил провайдера).

In Дело Cloudflare, некоторые сотрудники попались на уловку, но атака была предотвращена благодаря выданным каждому сотруднику физическим ключам безопасности, которые необходимы для доступа ко всем внутренним приложениям.

Лиор Яари, генеральный директор и соучредитель Grip Security, отмечает, что масштабы и причина взлома, помимо выводов Group IB, до сих пор неизвестны, поэтому могут появиться новые жертвы.

«Команде безопасности не всегда легко идентифицировать всех пользователей приложения SaaS, особенно тех, где пользователи используют свои собственные логины и пароли», — предупреждает он. «Обнаружение теневого SaaS — непростая проблема, но существуют решения, которые могут обнаруживать и сбрасывать пароли пользователей для теневого SaaS».

Время переосмыслить IAM?

В целом, успех кампании иллюстрирует проблемы, связанные с опорой на людей для обнаружения социальной инженерии, и пробелы в существующих методах. управление идентификацией и доступом (IAM) подходы.

«Эта атака демонстрирует, насколько уязвимым сегодня является IAM, и почему индустрия должна подумать о снятии бремени логинов и паролей с сотрудников, которые подвержены социальной инженерии и изощренным фишинговым атакам», — говорит Яари. «Лучшее упреждающее решение, которое могут предпринять компании, — это заставить пользователей сбросить все свои пароли. особенно Окта".

Инцидент также указывает на то, что предприятия все больше полагаются на доступ своих сотрудников к мобильным конечным точкам для продуктивной работы в современной распределенной рабочей силе, создавая новую богатую фишинговую площадку для злоумышленников, таких как акторы 0ktapus, по словам Ричарда Мелика, директора по отчетности об угрозах в Цимпериум.

«От фишинга до сетевых угроз, от вредоносных приложений до скомпрометированных устройств — предприятиям крайне важно признать, что мобильная поверхность атаки является крупнейшим незащищенным вектором доступа к их данным и доступу», — написал он в заявлении, отправленном по электронной почте.