Twilio, Mailchimp ve Klaviyo da dahil olmak üzere bir dizi son siber saldırıdan sorumlu bilgisayar korsanları, aynı kimlik avı kampanyasında 130'dan fazla kuruluştan ödün verdi.
Bu kimlik avı kampanyası, bilgisayar korsanlarının VPN'ler ve diğer uzaktan erişim cihazları aracılığıyla kurumsal ağlara ve sistemlere erişmek için kullandığı 9,931 giriş kimlik bilgilerini çalmak için '0KTAPUS' adlı bir kimlik avı kiti kullandı.
Bir Grup-IB raporuna göre, 0KTAPUS kampanyası en azından Mart 2022'den beri Okta kimlik kimlik bilgilerini ve 2FA kodlarını çalmayı ve sonraki tedarik zinciri saldırılarını gerçekleştirmek için kullanmayı amaçlıyor.
Bu saldırılar çok başarılıydı ve Twilio, MailChimp ve Klaviyo'da bildirilen bir dizi veri ihlali ve Cloudflare'e engellenen bir saldırı girişimine yol açtı.
Buna ek olarak, bu ihlaller ayrıca Signal ve DigitalOcean gibi bu hizmetleri kullanan müşterilere tedarik zinciri saldırılarına yol açtı.
Bu kampanyada oluşturulan kimlik avı alanlarına dayanarak, tehdit aktörleri kripto para birimi, teknoloji, finans ve işe alım da dahil olmak üzere birçok sektördeki şirketleri hedef aldı.
Hedeflenen şirketlerden bazıları T-Mobile, Metropcs, Verizon Wireless, AT&T, Slack, Twitter, Binance, Kucoin, Coinbase, Microsoft, Epic Oyunlar, Riot Games, Evernote, AT&T, Hubspot, TTEC ve Best Buy yer alıyor.
Saldırı, bir SMS mesajı ve kurbanlardan hesap kimlik bilgilerini ve 2FA kodlarını girmeleri istendiği bir OKTA giriş sayfasını taklit eden bir kimlik avı sayfasına bağlantı ile başlar.
OKTA, çalışanların şirketlerindeki tüm yazılım varlıklarına erişmek için tek bir giriş kullanmalarını sağlayan bir Hizmet Olarak Kimlik (IDAAS) platformudur.
Araştırmacılar, aşağıdaki örnekler gibi "Okta", "Yardım", "VPN" ve "SSO" anahtar kelimelerini kullanarak 0KTAPUS kampanyasını destekleyen 169 benzersiz kimlik avı alanı keşfettiler.
Bu siteler, hedef şirketlerin spesifik temasına sahiptir, bu nedenle çalışanların günlük giriş prosedürlerinde görmeye alışkın oldukları gerçek portallar gibi görünürler.
Mağdurlar kimlik bilgilerine ve 2FA kodlarına girdiğinde, siteler onları tehdit aktörlerinin onları alabileceği özel bir telgraf kanalına iletir.
Bilgisayar korsanları daha sonra bu giriş kimlik bilgilerini, müşteri verilerini çalmak için kurumsal VPN'lere, ağlara ve dahili müşteri destek sistemlerine erişmek için kullandı. Bu müşteri verileri daha sonra DigitalOcean ve Signal ile gördüğümüz gibi daha fazla tedarik zinciri saldırıları yapmak için kullanıldı.
Geçmiş mağdurların açıklamalarına dayanarak, tehdit aktörleri, kripto para birimi endüstrisindeki şirketlere ait verileri yaygın olarak hedefledi.
Grup-IB, tehdit aktörlerinin 136 şirketten 9.931 kullanıcı kimlik bilgilerini, e-postalarla 3.129 kayıt ve MFA kodlarıyla 5.441 kayıt çalmayı başardığını ve ABD'de yer alan tehlikeye atılan kuruluşların çoğunluğu ile birlikte.
Bunlardan neredeyse yarısı yazılım ve telekom sektörüne aitken, finans, iş hizmetleri, eğitim ve perakende de önemli hisse senedine sahipti.
Group-Ib'in araştırmacıları, hesap verileri açığa çıkması için kullanılan telgraf kanalının yönetici hesabını bulmak için kimlik avı kitindeki küçük bilgiyi "gizleme" kullandı.
Kullanıcının etkinliğini takip eden tehdit istihbarat firması, 2019'da "X" adlı kullanıcının Twitter hesaplarına işaret eden bir şey yayınladığını buldu.
Oradan, analistler, o sırada "Konu X" takma adını kullanan bilgisayar korsanına bağlı bir GitHub hesabı buldular. Grup-IB, bu hesabın Kuzey Carolina, Amerika Birleşik Devletleri'nin onunla ilişkili bir yeri olduğunu söyledi.
Grup-IB, tehdit oyuncusunun iddia edilen kimliği hakkında daha fazla bilgiye sahip olduğunu iddia ediyor, ancak kolluk kuvvetleri için daha fazla ayrıntı ayırdı.
Twilio Breach Hacker'ların OKTA'nın bir kerelik MFA şifrelerini görmesine izin ver
Doordash, Twilio Hacker'larına bağlı yeni veri ihlalini açıklıyor
Twilio ihlali, bilgisayar korsanlarının Authy 2FA hesaplarına erişmesine izin ver
Microsoft, Rus bilgisayar korsanlarının NATO Hedefleri üzerindeki operasyonunu bozar
Twilio: Veri ihlalinden etkilenen 125 müşteri, çalınan şifre yok
Kaynak: Bleeping Computer