负责最近一系列网络攻击的黑客,包括 Twilio、MailChimp、Cloudflare 和 Klaviyo 上的攻击,在同一个网络钓鱼活动中破坏了 130 多个组织。
该网络钓鱼活动利用代号为“0ktapus”的网络钓鱼工具包窃取 9,931 个登录凭据,然后黑客利用这些凭据通过 VPN 和其他远程访问设备访问公司网络和系统。
根据 Group-IB 的一份报告,至少从 2022 年 3 月开始,0ktapus 活动就一直在进行,旨在窃取 Okta 身份凭证和 2FA 代码,并利用它们进行后续的供应链攻击
这些攻击非常成功,导致Twilio、 MailChimp、 Cloudflare和 Klaviyo报告了一系列数据泄露事件 。此外,这些违规行为还导致对使用这些服务(例如 Signal 和 DigitalOcean)的客户进行供应链攻击。
根据该活动中创建的网络钓鱼域,攻击者针对多个行业的公司,包括加密货币、技术、金融和招聘。
一些目标公司包括 T-Mobile、MetroPCS、Verizon Wireless、AT&T、Slack、Twitter、Binance、KuCoin、CoinBase、微软、Epic Games、Riot Games、Evernote、AT&T、HubSpot、TTEC 和 Best Buy。
0ktapus 的许多武器
攻击始于一条 SMS 消息和一个指向模拟 Okta 登录页面的网络钓鱼页面的链接,在该页面提示受害者输入他们的帐户凭据和 2FA 代码。
发送给 Cloudflare 员工的 MS 网络钓鱼消息
Okta 是一个身份即服务 (IDaaS) 平台,使员工能够使用单一登录来访问其公司中的所有软件资产。
研究人员使用关键字“OKTA”、“HELP”、“VPN”和“SSO”发现了 169 个支持 0ktapus 活动的独特网络钓鱼域,如下例所示。
t-mobile-okta[.]org
att-citrix[.]com
vzwcorp[.]co
mailchimp-help[.]com
slack-mailchimp[.]com
kucoin-sso[.]com
这些网站具有目标公司的特定主题,因此它们看起来与员工在日常登录过程中习惯看到的真正门户网站完全一样。
活动中使用的 Okta 网络钓鱼页面 (Group-IB)
当受害者输入他们的凭据和 2FA 代码时,这些站点会将它们传输到一个私人 Telegram 频道,威胁参与者可以在该频道中检索它们。
然后,黑客使用这些登录凭据访问公司 VPN、网络和内部客户支持系统,从而窃取客户数据。正如我们在 DigitalOcean 和 Signal 中看到的那样,这些客户数据随后被用于执行进一步的供应链攻击。
根据过去受害者的披露,攻击者通常针对属于加密货币行业公司的数据。
Group-IB 表示,攻击者设法从 136 家公司窃取了 9,931 个用户凭证、3,129 条电子邮件记录和 5,441 条 MFA 代码记录,其中大多数受感染组织位于美国
受害组织地图 (Group-IB)
其中,近一半属于软件和电信行业,而金融、商业服务、教育和零售也占有很大份额。
取消屏蔽用户“X”
Group-IB 的调查人员利用网络钓鱼工具包中“隐藏”的小信息来查找用于帐户数据泄露的 Telegram 频道的管理员帐户。
Telegram 频道管理员帐户 (Group-IB)
追踪用户的活动,威胁情报公司发现,在 2019 年,名为“X”的用户发布了指向其 Twitter 帐户的内容。
从那里,分析人员发现了一个与黑客相关的 GitHub 帐户,该黑客当时使用的昵称是“Subject X”。Group-IB 表示,该帐户与美国北卡罗来纳州的位置相关联。
Group-IB 声称拥有有关所谓威胁者身份的更多信息,但它为执法机构保留了更多细节。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Twilio黑客在大规模Okta网络钓鱼攻击中攻击了130多个组织
