0ktapus威胁组织对130多家企业发起网络攻击
据悉,针对Twilio和Cloudflare员工的攻击与大规模网络钓鱼活动有关,该活动导致130多个组织的9,931个帐户遭到入侵。
研究人员表示,这些活动与针对身份和访问管理公司Okta的攻击有关,该公司为威胁者取了0ktapus的绰号。
Group-IB研究人员在最近的一份报告中写道:“威胁者的主要目标是从目标组织的用户那里获取Okta身份凭证和多因素身份验证(MFA)代码。”这些用户收到的短信包含模仿其组织的Okta身份验证页面的钓鱼网站链接。
受影响的有114家美国公司,另有其他68个国家也受到了影响。Group-IB高级威胁情报分析师表示,攻击范围仍不得而知。
0ktapus黑客想要什么
根据Group-IB分析的受损数据分析,0ktapus攻击者的攻击目标是电信公司。虽然不确定威胁者如何获得用于MFA相关攻击的电话号码列表,但研究人员认为,0ktapus攻击者的攻击目标大概率是电信公司。
接下来,攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主使用的Okta身份验证页面的网页。然后,受害者被要求提交Okta身份凭证以及员工用于保护其登录信息的多因素身份验证(MFA)代码。
在附带的技术博客中,Group-IB的研究人员解释说,最初主要针对软件即服务公司的攻击只是多管齐下的攻击的第一阶段。0ktapus的最终目标是访问公司邮件列表或面向客户的系统,以期促进供应链攻击。
在Group-IB发布报告的几个小时内,DoorDash公司透露,它遭受了一次具有0ktapus式攻击所有特征的攻击。
爆炸半径:MFA攻击
DoorDash在博客文章中透露:“未经授权的一方利用窃取的供应商员工凭证访问了我们的一些内部工具。”根据该帖子,攻击者继续窃取客户和送货员的个人信息,包括姓名、电话号码、电子邮件和送货地址。
Group-IB报告称,攻击者在攻击过程中破解了5,441个MFA代码。虽然MFA等安全措施看起来很安全,但很明显,攻击者可以用相对简单的工具攻破它们。
为了缓解0ktapus的活动,研究人员建议人们应注意URL和密码的安全,并使用符合FIDO2的安全密钥进行MFA。无论使用哪种MFA,都应该向用户传授针对其MFA形式实施的常见攻击类型、如何识别这些攻击以及如何应对。