130 月初入侵 Twilio 和 Cloudflare 的黑客还在同一活动中渗透了 10,000 多个其他组织,窃取了近 2 组 Okta 和双因素身份验证 (XNUMXFA) 凭证。
这是根据 Group-IB 的一项调查得出的结论,该调查发现几个知名组织是其称为 0ktapus 的大规模网络钓鱼活动的目标之一。 诱饵很简单,例如用户需要重置密码的虚假通知。 它们是通过带有静态网络钓鱼站点链接的文本发送的,这些站点反映了每个特定组织的 Okta 身份验证页面。
研究人员在一份报告中表示:“尽管使用了低技能方法,[该组织]仍然能够危害大量知名组织。” 博客文章今天。 “此外,一旦攻击者破坏了一个组织,他们就能迅速转向并发起后续的供应链攻击,这表明这次攻击是经过精心策划的。”
情况就是如此 Twilio 违规 这发生在 4 月 25 日。攻击者能够通过社交工程让几名员工交出用于整个组织单点登录的 Okta 凭据,从而使他们能够访问内部系统、应用程序和客户数据。 此次泄露影响了大约 XNUMX 个使用 Twilio 电话验证和其他服务的下游组织,其中包括 Signal,该组织发布了 一份声明 确认大约 1,900 名用户的电话号码可能在该事件中被劫持。
130 家目标公司中的大多数是美国的 SaaS 和软件公司——这并不奇怪,因为 攻击的供应链性质.
例如,该活动的其他受害者包括电子邮件营销公司 Klaviyo 和 Mailchimp。 在这两起案件中,骗子都窃取了加密货币相关客户的姓名、地址、电子邮件和电话号码,其中包括 Mailchimp 客户 DigitalOcean(随后 放弃了提供者).
In Cloudflare 的案例一些员工中了这个诡计,但由于向每位员工发放了访问所有内部应用程序所需的物理安全密钥,这次攻击被挫败了。
Grip Security 首席执行官兼联合创始人 Lior Yaari 指出,除了 Group IB 的调查结果之外,此次违规的程度和原因仍然未知,因此可能会发现更多受害者。
“对于安全团队来说,识别 SaaS 应用程序的所有用户并不总是那么容易,尤其是那些用户使用自己的登录名和密码的用户,”他警告说。 “影子 SaaS 发现不是一个简单的问题,但有一些解决方案可以发现并重置影子 SaaS 的用户密码。”
是时候重新思考 IAM 了?
总体而言,该活动的成功说明了依靠人类来检测社会工程的麻烦,以及现有技术的差距 身份和访问管理 (IAM)方法。
Yaari 表示:“这次攻击表明了 IAM 当今的脆弱性,以及为什么业界应该考虑消除容易受到社会工程和复杂网络钓鱼攻击的员工的登录和密码负担。” “公司可以采取的最佳主动补救措施是让用户重置所有密码, 特别是奥克塔设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
该事件还指出,企业越来越依赖员工对移动端点的访问,以在现代分布式劳动力中提高工作效率,从而为 0ktapus 攻击者等攻击者创造了一个丰富的新网络钓鱼场所,威胁报告总监理查德·梅利克 (Richard Melick) 表示。津佩瑞姆。
他在一份电子邮件声明中写道:“从网络钓鱼到网络威胁,从恶意应用程序到受感染的设备,企业必须承认移动攻击面是其数据和访问的最大未受保护的载体。”
