Group-IB, yakın zamanda ortaya çıkarılan Twilio ve Cloudflare çalışanlarını hedef alan 0ktapus kimlik avı kampanyasının, 9.931.000'dan fazla kuruluştan 130 hesabın ele geçirilmesiyle sonuçlanan büyük saldırı zincirinin bir parçası olduğunu keşfetti.
Kampanya, Group-IB'deki araştırmacılar tarafından 0ktapus olarak adlandırıldı çünkü popüler bir kimlik ve erişim yönetimi hizmeti sunuyordu. Kurbanların büyük çoğunluğu Amerika Birleşik Devletleri'nde bulunuyor ve birçoğu Okta'nın kimlik ve erişim yönetimi hizmetlerini kullanıyor.
Group-IB Tehdit İstihbaratı ekibi, güvenliği ihlal edilmiş bilgileri silmek için saldırganların kimlik avı etki alanları, kimlik avı kiti ve saldırganların kontrolündeki Telegram kanalı dahil olmak üzere kimlik avı altyapısını keşfetti ve analiz etti. Grup IB araştırmacıları tarafından tespit edilen tüm mağdur kuruluşlar bilgilendirildi ve güvenliği ihlal edilmiş hesapların listeleri verildi. Tehdit aktörünün şüpheli kimliğine ilişkin istihbarat, uluslararası kolluk kuvvetleriyle paylaşıldı.
Sürekli saldırı zinciri
26 Temmuz 2022'de Grup IB ekibi, Tehdit İstihbaratı müşterilerinden, çalışanlarına yönelik yakın zamanda gerçekleştirilen bir kimlik avı girişimi hakkında ek bilgi isteyen bir talep aldı. Soruşturma, Twilio ve Cloudflare olaylarıyla birlikte bu kimlik avı saldırılarının bir zincirin halkaları olduğunu ortaya çıkardı. En az Mart 2022'den beri aktif olan, benzeri görülmemiş bir ölçek ve erişime sahip basit ama son derece etkili tekli kimlik avı kampanyası. İflas davasıyla ilgili soruşturma haberci sinyali Saldırganlar bir şirketin güvenliğini ihlal ettikten sonra hemen tedarik zincirine yeni saldırılar başlattıklarını gösterdi.
Şans mı yoksa mükemmel planlama mı?
“Tehdit aktörü saldırılarında çok şanslı olabilir. Bununla birlikte, kimlik avı kampanyasını karmaşık tedarik zinciri saldırıları başlatmak için çok dikkatli bir şekilde planlamış olması çok daha olasıdır. Saldırıların tam olarak planlanıp planlanmadığı veya her aşamada çeşitli önlemlerin alınıp alınmadığı henüz netlik kazanmadı. Ne olursa olsun, 0ktapus kampanyası inanılmaz derecede başarılı oldu ve bir süre tam olarak bilinmeyebilir." Group-IB, Avrupa Kıdemli Tehdit İstihbarat Analisti Robert Martínez, dedi.
Tehdit aktörlerinin ana hedefi, hedeflenen kuruluşların kullanıcılarından Okta kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını elde etmekti. Bu kullanıcılar, kuruluşlarının Okta kimlik doğrulama sayfasını taklit eden kimlik avı sitelerine bağlantılar içeren metin mesajları aldı.
Saldırının başlama tarihleri nereden geldi?
Dolandırıcıların hedef listelerini nasıl oluşturdukları ve telefon numaralarını nasıl ele geçirdikleri hala bilinmiyor. Group-IB tarafından analiz edilen ele geçirilmiş verilere göre, tehdit aktörleri saldırılarına mobil operatörleri ve telekom şirketlerini hedef alarak başladı. Daha fazla saldırı için gerekli verileri yakalayabilirlerdi.
Son derece çok sayıda kimlik avı alanı
Group-IB araştırmacıları, 169ktapus kampanyasına dahil olan 0 benzersiz kimlik avı alanı keşfetti. Alan adlarında "SSO", "VPN", "OKTA", "MFA" ve "HELP" gibi anahtar kelimeler kullanıldı. Kurbanın bakış açısından, meşru kimlik doğrulama sayfalarına son derece benzer oldukları için kimlik avı sayfaları inandırıcı görünüyordu.
Group-IB, web sitesinde daha fazla bilgi ve soruşturmanın daha ayrıntılı sonuçlarını sağlar.
Daha fazlası Group-IB.com'da