信息化觀察網(wǎng)

本文來自嘶吼網(wǎng)，作者胡金魚。

據(jù)悉，針對Twilio和Cloudflare員工的攻擊與大規(guī)模網(wǎng)絡(luò)釣魚活動有關(guān)，該活動導(dǎo)致130多個組織的9,931個帳戶遭到入侵。

研究人員表示，這些活動與針對身份和訪問管理公司Okta的攻擊有關(guān)，該公司為威脅者取了0ktapus的綽號。

Group-IB研究人員在最近的一份報告中寫道：“威脅者的主要目標(biāo)是從目標(biāo)組織的用戶那里獲取Okta身份憑證和多因素身份驗證(MFA)代碼。”這些用戶收到的短信包含模仿其組織的Okta身份驗證頁面的釣魚網(wǎng)站鏈接。

受影響的有114家美國公司，另有其他68個國家也受到了影響。Group-IB高級威脅情報分析師表示，攻擊范圍仍不得而知。

0ktapus黑客想要什么

根據(jù)Group-IB分析的受損數(shù)據(jù)分析，0ktapus攻擊者的攻擊目標(biāo)是電信公司。雖然不確定威脅者如何獲得用于MFA相關(guān)攻擊的電話號碼列表，但研究人員認(rèn)為，0ktapus攻擊者的攻擊目標(biāo)大概率是電信公司。

接下來，攻擊者通過短信向目標(biāo)發(fā)送釣魚鏈接。這些鏈接指向模仿目標(biāo)雇主使用的Okta身份驗證頁面的網(wǎng)頁。然后，受害者被要求提交Okta身份憑證以及員工用于保護(hù)其登錄信息的多因素身份驗證(MFA)代碼。

在附帶的技術(shù)博客中，Group-IB的研究人員解釋說，最初主要針對軟件即服務(wù)公司的攻擊只是多管齊下的攻擊的第一階段。0ktapus的最終目標(biāo)是訪問公司郵件列表或面向客戶的系統(tǒng)，以期促進(jìn)供應(yīng)鏈攻擊。

在Group-IB發(fā)布報告的幾個小時內(nèi)，DoorDash公司透露，它遭受了一次具有0ktapus式攻擊所有特征的攻擊。

爆炸半徑：MFA攻擊

DoorDash在博客文章中透露：“未經(jīng)授權(quán)的一方利用竊取的供應(yīng)商員工憑證訪問了我們的一些內(nèi)部工具。”根據(jù)該帖子，攻擊者繼續(xù)竊取客戶和送貨員的個人信息，包括姓名、電話號碼、電子郵件和送貨地址。

Group-IB報告稱，攻擊者在攻擊過程中破解了5,441個MFA代碼。雖然MFA等安全措施看起來很安全，但很明顯，攻擊者可以用相對簡單的工具攻破它們。

為了緩解0ktapus的活動，研究人員建議人們應(yīng)注意URL和密碼的安全，并使用符合FIDO2的安全密鑰進(jìn)行MFA。無論使用哪種MFA，都應(yīng)該向用戶傳授針對其MFA形式實施的常見攻擊類型、如何識別這些攻擊以及如何應(yīng)對。