Group-IB araştırmacıları, '0ktapus' adını verdikleri bir tehdit grubunun, Twilio ve Cloudflare çalışanlarına yönelik hedefli saldırılar düzenlediğini ve bu saldırılar sonucunda 130'dan fazla kuruluşta 9.931 hesabın ele geçirildiğini açıkladı. Saldırılar, kimlik ve erişim yönetimi firması Okta'nın kötüye kullanılmasına dayanıyor. Araştırmacılar, tehdit aktörlerinin birincil amacının, hedef kuruluşların kullanıcılarından Okta kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını elde etmek olduğunu belirtti. Kullanıcılara, kuruluşlarının Okta kimlik doğrulama sayfasını taklit eden sahte sayfalara yönlendiren SMS mesajları gönderildi.
Saldırılardan etkilenen 114 firma ABD merkezliyken, diğer kurbanlar 68 farklı ülkeye yayılmış durumda. Group-IB kıdemli tehdit istihbarat analisti Roberto Martinez, saldırının boyutunun henüz tam olarak bilinmediğini ve '0ktapus kampanyasının inanılmaz derecede başarılı olduğunu, tam ölçeğinin bir süre daha bilinemeyebileceğini' söyledi.
Araştırmacılar, 0ktapus saldırganlarının kampanyaya telekomünikasyon şirketlerini hedef alarak başladığını düşünüyor. Bu ilk saldırılarla potansiyel kurbanların telefon numaralarını topladıkları tahmin ediliyor. Ardından, hedeflere SMS yoluyla phishing bağlantıları gönderildi. Bu bağlantılar, kurbanın çalıştığı kurumun Okta kimlik doğrulama sayfasını taklit eden web sayfalarına yönlendiriyordu. Kurbanlardan Okta kimlik bilgilerinin yanı sıra MFA kodlarını da girmeleri istendi.
Group-IB'in teknik blogunda belirtildiğine göre, çoğunlukla yazılım-hizmet (SaaS) firmalarının ele geçirilmesi, çok aşamalı saldırının ilk adımıydı. 0ktapus'un nihai hedefi, şirket posta listelerine veya müşteriye dönük sistemlere erişerek tedarik zinciri saldırıları düzenlemekti. Raporun yayınlanmasından saatler sonra DoorDash, 0ktapus tarzı bir saldırıya uğradığını duyurdu.
Nasıl Önlem Alınmalı?
DoorDash, yetkisiz bir tarafın, satıcı çalışanlarının çalıntı kimlik bilgilerini kullanarak iç araçlara eriştiğini ve müşteriler ile teslimatçıların kişisel bilgilerini (isim, telefon, e-posta, adres) çaldığını açıkladı. Group-IB, kampanya boyunca saldırganların 5.441 MFA kodunu ele geçirdiğini raporladı. Araştırmacılar, 'MFA gibi güvenlik önlemleri güvenli görünebilir, ancak saldırganların nispeten basit araçlarla bunları aşabildiği açık' uyarısında bulundu.
Teknik Analiz
KnowBe4'ten Roger Grimes, 'Bu, sözde güvenli çok faktörlü kimlik doğrulamanın ne kadar kolay atlatılabildiğini gösteren bir başka phishing saldırısı. Kullanıcıları kolayca avlanabilen şifrelerden, yine kolayca avlanabilen MFA'ya taşımak hiçbir işe yaramıyor. Bu, hiçbir fayda sağlamayan çok fazla emek, kaynak, zaman ve para harcamak anlamına geliyor' dedi. Araştırmacılar, 0ktapus benzeri kampanyalara karşı URL ve şifre hijyenine dikkat edilmesini ve MFA için FIDO2 uyumlu güvenlik anahtarları kullanılmasını öneriyor.
Kaynak: threatpost.com