TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーがフィッシングをスキップしてアイデンティティシステムを標的にするため、Oktaが攻撃を受けている

ハッカーはメールフィッシングから離れ、音声ベースのソーシャルエンジニアリング、いわゆる「Okta vishing」を使用してOktaおよび他のアイデンティティプロバイダーを直接標的にしています。

このトレンドにより、かつての単一アカウント侵害が、シングルサインオン(SSO)を通じた直接的で組織全体のクラウドデータ侵害へと変わります。

リンクを送信する代わりに、彼らは通話を継続し、被害者にアイデンティティプロバイダーの制御を手放すアクションについて説明します。

これらの通話中、攻撃者はスタッフにMFAのリセット、新しい認証器の登録、OTPコードの提供、プッシュプロンプトの承認、またはパスワードとセッション詳細の共有を強要します。

Okta vishingは、攻撃者が従業員またはヘルプデスクに電話をかけ、正当なユーザーまたはITスタッフになりすましてMFAとOktaアカウント設定を操作する音声フィッシング技術です。

Oktaへのアクセスを取得すると、彼らはSSOを通じてMicrosoft 365、SharePoint、OneDrive、Google Workspace、Salesforce、Slack、VPNポータル、HRシステムなどのプラットフォームに直ちにピボットし、各アプリを個別に悪用することなく侵害します。

これらの攻撃が増加している理由

脅威行為者は、MFAが通常、技術的レイヤーではなく人間のレイヤーで失敗することに気づきました。強力な認証を技術的にバイパスする代わりに、サポートまたは緊急性の名目の下で、人々を説得して自分たちのためにそれを弱めさせます。

ヘルプデスクは速度で評価され、リモートワークはアクセスの問題を一般的にし、攻撃者はLinkedIn、企業サイト、データ漏洩から従業員の詳細、組織図、エグゼクティブ名を簡単に収集して、信頼できる口実を構築できます。

Image

アイデンティティプロバイダーが現在、SaaSアクセスの中央コントロールプレーンとして機能しているため、Oktaを侵害することはその背後にあるクラウド環境を実質的に侵害します。

攻撃は通常、偵察から始まります。敵対者はオープンソースと過去の侵害データから名前、役割、電話番号、ヘルプデスク連絡先、Oktaテナントパターンを収集します。

その後、彼らは被害者またはITに電話をかけ、ロックアウトされた従業員、出張中のエグゼクティブ、契約者、または「故障した電話」を持つユーザーになりすまし、緊急性を使用して通常の検証を推し進めます。

次に、スタッフを説得してファクターをリセットしたり、攻撃者制御デバイスまたは電話番号を追加したり、OTPとプッシュ承認を共有したりすることで、MFAを操作し、アカウント制御を効果的に譲り渡します。

Oktaが現在侵害されたため、彼らはSSOでSaaSに移行し、SharePointとOneDriveのデータをダウンロードし、メールをエクスポートし、OAuthアプリを登録し、APIトークンを作成し、転送ルールを設定して、イベントを大規模なクラウドデータ流出に変えます。

DFIRチームの検出手がかり

アイデンティティ側では、対応者は正当でないMFAリセット、新しいデバイス登録、異常なログインに続くMFA方法の変更、なじみのないASNからのサインイン、疑わしいアクティビティに密接に先行するヘルプデスクチケットをフラグする必要があります。

Microsoft 365およびその他のSaaSプラットフォームでは、警告サインに異常なSharePointまたはOneDriveダウンロード量、複数のアプリ間の新しいIPからのログイン、突然のOAuth同意イベント、MFA変更の直後の迅速なマルチアプリアクセスが含まれます。

Okta vishingから身を守るには、電子メールセキュリティだけでなく、アイデンティティワークフローの強化が必要です。

組織は、MFAおよびパスワードリセットの厳密な検証を実施し、高リスク変更にはステップアップチェックを要求し、ヘルプデスクをVishing口実について教育し、可能な限りFIDO2キーまたはパスキーなどのフィッシング耐性MFAを義務付ける必要があります。

セキュリティチームはまた、レガシー認証をオフにし、OAuthアプリの同意を制限し、MFAファクターを定期的にレビューし、IdPログをSIEMに取り込んでアイデンティティイベントをSaaS、VPN、エンドポイントテレメトリと相関させることを確認する必要があります。

最後に、SOCとMDRワークフローはアイデンティティベースの攻撃を明確にカバーする必要があり、Okta vishingが疑われる場合にセッションを迅速に取り消し、認証情報をリセットし、不正なMFA方法を削除するプレイブックが必要です。

翻訳元: https://gbhackers.com/okta-under-attack/

ソース: gbhackers.com
#Okta vishing #アイデンティティ管理 #インシデント対応 #クラウドセキュリティ #シングルサインオン #ソーシャルエンジニアリング #フィッシング耐性認証 #多要素認証攻撃 #認証情報盗難 #音声フィッシング

関連記事

ハッカーがObsidianプラグインを悪用してクロスプラットフォームマルウェアを展開

ハッカーが進行中の攻撃でShowDocの重大なRCE脆弱性を悪用

SAPパッチデーが重大なSQLインジェクション、DoS、およびコードインジェクション脆弱性を修正