130社以上が、多要素認証システムを装った大規模なフィッシングキャンペーンに巻き込まれました。
TwilioやCloudflareの従業員を標的とした攻撃は、130以上の組織で9,931件のアカウントが侵害された大規模なフィッシングキャンペーンに関連しています。これらのキャンペーンは、アイデンティティおよびアクセス管理企業Oktaの悪用に集中しており、研究者によって脅威アクターに「0ktapus」という呼称が付けられました。
「脅威アクターの主な目的は、標的組織のユーザーからOktaの認証情報と多要素認証(MFA)コードを取得することでした」とGroup-IBの研究者は最近のレポートで述べています。「これらのユーザーは、自分の組織のOkta認証ページを模倣したフィッシングサイトへのリンクが含まれたテキストメッセージを受け取りました。」
被害を受けたのは米国拠点の114社で、さらに68か国にわたる追加の被害者が確認されています。
Group-IBのシニア脅威インテリジェンスアナリスト、ロベルト・マルティネス氏は、攻撃の全容はまだ不明だと述べています。「0ktapusキャンペーンは非常に成功しており、その全貌が明らかになるには時間がかかるかもしれません」と彼は語りました。
0ktapusハッカーの狙い
0ktapusの攻撃者は、標的となる電話番号へのアクセスを得るため、通信事業者を最初に標的にしたと考えられています。
脅威アクターがMFA関連攻撃に使用した電話番号リストをどのように入手したかは正確には分かっていませんが、研究者の一説では、0ktapusの攻撃者が通信事業者を標的にキャンペーンを開始した可能性があるとされています。
「Group-IBが分析した侵害データによると、脅威アクターはモバイルオペレーターや通信事業者を標的に攻撃を開始し、最初の攻撃で電話番号を収集した可能性があります」と研究者は記しています。
次に、攻撃者は標的にテキストメッセージでフィッシングリンクを送りました。これらのリンクは、標的の雇用主が使用しているOkta認証ページを模倣したウェブページに誘導します。被害者は、Oktaの認証情報と、ログイン保護に使われている多要素認証(MFA)コードの入力を求められました。
付随する技術ブログで、Group-IBの研究者は、主にSaaS企業の初期侵害が多角的な攻撃の第一段階であったと説明しています。0ktapusの最終的な目的は、サプライチェーン攻撃を容易にするため、企業のメーリングリストや顧客向けシステムへのアクセスを得ることでした。
関連する可能性のある事件として、先週末Group-IBがレポートを公開してから数時間以内に、DoorDash社が0ktapus型攻撃の特徴を持つ攻撃の標的となったことを明らかにしました。
被害範囲:MFA攻撃
DoorDashはブログ投稿で、「不正な第三者がベンダー従業員の盗まれた認証情報を使い、当社の一部内部ツールにアクセスしました」と明かしました。投稿によると、攻撃者は顧客や配達員の氏名、電話番号、メールアドレス、配達先住所などの個人情報を盗みました。
Group-IBの報告によれば、攻撃の過程で攻撃者は5,441件のMFAコードを侵害しました。
「MFAのようなセキュリティ対策は安全に見えるかもしれませんが…攻撃者は比較的単純なツールでそれらを突破できることが明らかです」と研究者は記しています。
「これは、攻撃者がいかに簡単に、いわゆる安全な多要素認証を回避できるかを示す、またしてもフィッシング攻撃の一例です」とKnowBe4のデータ主導型防御エバンジェリスト、ロジャー・グライムズ氏はメールでの声明で述べています。「簡単にフィッシングされるパスワードから、簡単にフィッシングされるMFAにユーザーを移行させても意味がありません。多くの労力、リソース、時間、そしてお金をかけても、何の利益も得られません。」
0ktapus型キャンペーンへの対策として、研究者はURLやパスワードの衛生管理、そしてMFAにはFIDO2準拠のセキュリティキーの利用を推奨しています。
「どのようなMFAを使う場合でも」とグライムズ氏は助言しています。「ユーザーには、自分が利用するMFAの形式に対して行われる一般的な攻撃の種類、それを見分ける方法、そして対応方法を教えるべきです。パスワードを選ぶ際にはユーザーに注意を促しますが、より安全とされるMFAを使うように指示する際にはそれをしていません。」
翻訳元: https://threatpost.com/0ktapus-victimize-130-firms/180487/