身份服务提供商Okta上周五(9月1日)正告称,有要挟行为者针对该公司启动了一次性社会工程攻打取得了治理员权限。
该公司示意:最近几周,多家美国Okta客户报告了多个针对IT服务人员的社会工程攻打。这些要挟行为者会打电话给服务台人员,而后需要重置高权限用户注册的一切多起因身份验证(MFA)因子,从而开局滥用Okta超级治理员帐户的最高权限来冒充受感化组织内的用户。该公司示意,这些优惠出当初2023年7月29日至8月19日之间。
只管Okta没有泄漏要挟介入者的身份,但其经常使用的攻打战术合乎名为“Muddled Libra”的优惠集群的一切特色,听说它与“Scattered Spider”和“Scatter Swine”也有必定的关联。
这些攻打的**是一个名为 0ktapus 的商业网络钓鱼工具包,它提供预制模板来创立更为真切的虚伪身份验证门户,并最终失掉凭证和多起因身份验证(MFA)代码。它还经过Telegram整合了一个内置的命令与控制 (C2) 通道。
Palo Alto Networks 的第42部门曾在 2023 年 6 月通知《The Hacker News》,有多个要挟行为体正在 "将其减少到自己的武器库中",而且 "仅经常使用 0ktapus 钓鱼工具包并不必定能将要挟行为体归类为 "Muddled Libra"。
该公司还示意,它不可找到足够的对于目的定位、继续性或目的的数据,以确认该行为体与谷歌旗下的 Mandiant 追踪的一个未分类组织 UNC3944 之间的咨询。据悉,该组织也驳回相似的手法。
Trellix 钻研员 Phelix Oluoch 在上个月颁布的一份剖析报告中指出:Scattered Spider 关键针对电信和业务流程外包(BPO)组织。但是,最近的优惠标明这个组织曾经开局瞄准其余行业,包含关键基础设备组织。
在最新的一组攻打中,要挟分子曾经把握了属于特权用户账户的明码,或许 "能够经过优惠目录(AD)操纵委托身份验证流",而后再致电目的公司的 IT 服务台,需要重置与账户相关的一切 MFA 因子。
超级治理员账户的访问权限随后被用来为其余账户调配更高的权限,重置现有治理员账户中的注册验证器,甚至在某些状况下从验证战略中移除第二要素需要。
Okta示意:据观察,要挟行为者曾经性能了第二个身份提供程序,以作为'冒充的运行程序',代表其余用户访问被入侵组织内的运行程序。"这第二个身份提供商也由攻打者控制,将在与目的的入站联盟相关(有时称为'Org2Org')中充任'源'IdP"。
经过这个'源'IdP,要挟者操纵了第二个'源'身份提供商中目的用户的用户名参数,使其与被攻打的'目的'身份提供商中的实在用户相婚配。这就提供了以目的用户身份单点登录(SSO)目的身份提供商运行程序的才干。
该公司倡导客户执行防网络钓鱼身份验证,增强服务台身份验证流程,启用新设备和可疑优惠通知,并审查和限度超级治理员角色的经常使用,从而更好的应答此类攻打。