这,这更像是我们所说的复杂的网络攻击
本月早些时候对 Twilio 和 Cloudflare 进行网络攻击的犯罪分子在他们的网络钓鱼远征中撒下了更广泛的网络,针对多达 135 个组织——主要是位于美国的 IT、软件开发和云服务提供商。
该团伙追踪 Okta 客户的员工,向受害者发送带有恶意链接的短信,指向欺骗其公司身份验证页面的网站,以获取他们的工作登录凭据和多因素身份验证代码。因此,Group-IB 分析师将该活动命名为 Oktapus。
在周四发布的研究中,威胁情报团队披露了从 3 月开始的 Oktapus 网络钓鱼之旅,窃取了 9,931 个用户凭据和 5,441 个多因素身份验证代码。
“攻击者的最初目标很明确:从目标组织的用户那里获取 Okta 身份凭证和双重身份验证 (2FA) 代码,”Group-IB 研究人员 Roberto Martinez 和 Rustam Mirkasymov写道。
“有了这些信息,攻击者可以未经授权访问受害者可以访问的任何企业资源。”
然后,骗子使用被盗的凭据和 2FA 代码进行了几次供应链攻击。他们闯入了营销公司Klaviyo和电子邮件服务Mailchimp,然后允许不法分子获取DigitalOcean客户的电子邮件地址来钓鱼这些人。
而且,当然,攻击者试图攻击Cloudflare,但未能成功,并成功进入Twilio,这使他们能够瞄准 Twilio 客户Signal的用户,并获得 1,900 名加密消息服务用户的电话号码和注册码。
Group-IB 的研究包括一些模仿 Okta 身份验证页面的网络钓鱼网站的屏幕截图,基于此,目标公司包括 AT&T、Verizon、T-Mobile 和电子邮件服务 Mailgun。
研究人员总共发现了 169 个涉及 Oktapus 的唯一域,他们注意到攻击者使用的网络钓鱼工具包包括需要 Okta 身份验证的网站使用的合法图像。
这些钓鱼网站看起来与组织的真实身份验证页面非常相似,要求员工输入他们的用户名和密码,然后要求他们输入 2FA 代码。我们被告知,这些被盗凭据随后被发送到攻击者控制的 Telegram 频道,不法分子利用它们访问公司数据、电子邮件和内部文件。
虽然大多数目标公司可以大致归类为技术公司——其中包括 53 家软件供应商、22 家电信公司和 21 家商业服务提供商——但攻击者还袭击了金融 (13)、教育 (9)、零售 (7)、物流等领域的组织(4)、电子游戏(2)、法律服务(2)、电源(2)。
研究人员指出:“看到受攻击名单中的金融公司让我们认为攻击者也在试图窃取资金。” “此外,一些目标公司提供对加密资产和市场的访问,而其他公司则开发投资工具。”
根据 Group-IB 的数据,大部分目标组织的总部位于美国(114 家),而其他国家/地区的组织中有美国员工成为目标。
但是,他们警告说,我们可能在一段时间内都不会知道攻击的全部范围。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Twilio、Cloudflare只是Oktapus网络钓鱼活动针对的135个组织中的两个
