0ktapus Tehdit Grubu 130 Şirketi Hedef Aldı: Okta Kimlik Avı Kampanyasıyla 9.931 Hesap Ele Geçirildi Siber Güvenlik

0ktapus Tehdit Grubu 130 Şirketi Hedef Aldı: Okta Kimlik Avı Kampanyasıyla 9.931 Hesap Ele Geçirildi

0ktapus tehdit grubu, 130'dan fazla şirketi hedef alan Okta kimlik avı kampanyasıyla 9.931 hesabı ele geçirdi.

Siber güvenlik dünyası, son haftalarda '0ktapus' adı verilen bir tehdit grubunun düzenlediği büyük çaplı bir kimlik avı kampanyasıyla sarsıldı. Group-IB araştırmacılarının raporuna göre, Twilio ve Cloudflare çalışanlarını hedef alan saldırılar, 130'dan fazla kuruluşta 9.931 hesabın ele geçirilmesiyle sonuçlandı. Saldırganların temel amacı, kimlik ve erişim yönetimi firması Okta'nın kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını çalmaktı. Bu hedef doğrultusunda, kullanıcılara kuruluşlarının Okta kimlik doğrulama sayfasını taklit eden sahte web sitelerine yönlendiren SMS mesajları gönderildi.

Saldırıların çoğunlukla ABD merkezli 114 şirketi etkilediği, ancak 68 farklı ülkeye yayılan kurbanlarla küresel bir boyut kazandığı belirtiliyor. Group-IB'in kıdemli tehdit istihbarat analisti Roberto Martinez, kampanyanın boyutunun henüz tam olarak bilinmediğini vurguluyor: '0ktapus kampanyası inanılmaz derecede başarılı oldu ve tam ölçeğini bir süre daha bilemeyebiliriz.'

0ktapus saldırganlarının, kampanyalarına telekomünikasyon şirketlerini hedef alarak başladığı düşünülüyor. Araştırmacılar, saldırganların MFA saldırılarında kullanılacak telefon numaralarını bu ilk aşamada elde etmiş olabileceklerini belirtiyor. Ardından, hedeflere SMS yoluyla kimlik avı bağlantıları gönderildi. Bu bağlantılar, kurbanın işvereninin kullandığı Okta kimlik doğrulama sayfasının bire bir kopyası olan web sitelerine yönlendiriyordu. Kullanıcılardan Okta kimlik bilgilerinin yanı sıra MFA kodlarını da girmeleri istendi.

Detaylar ve Etkileri

Group-IB'in teknik blogunda açıkladığı üzere, çoğunlukla yazılım-hizmet (SaaS) firmalarının hedef alındığı ilk aşama, çok yönlü saldırının bir parçasıydı. 0ktapus'un nihai hedefi, şirket posta listelerine veya müşteri sistemlerine erişerek tedarik zinciri saldırıları gerçekleştirmekti. Bu bağlamda, Group-IB raporunu yayınladıktan saatler sonra DoorDash şirketi, 0ktapus tarzı bir saldırıya maruz kaldığını duyurdu.

Gelecekte Ne Bekleniyor?

DoorDash, saldırganların satıcı çalışanlarının çalıntı kimlik bilgilerini kullanarak iç araçlara eriştiğini ve müşteriler ile teslimatçıların kişisel bilgilerini (isim, telefon, e-posta, adres) çaldığını açıkladı. Group-IB raporuna göre, kampanya boyunca 5.441 MFA kodu ele geçirildi. Araştırmacılar, 'MFA gibi güvenlik önlemleri güvenli görünebilir, ancak saldırganların nispeten basit araçlarla bunları aşabildiği açıktır' uyarısında bulundu.

Nasıl Önlem Alınmalı?

KnowBe4'ten Roger Grimes, 'Bu, saldırganların sözde güvenli MFA'yı ne kadar kolay atlattığını gösteren bir başka kimlik avı saldırısı' diyerek, kullanıcıları kolayca avlanabilen şifrelerden yine kolayca avlanabilen MFA'ya geçirmenin faydasız olduğunu vurguladı. 0ktapus benzeri kampanyalardan korunmak için araştırmacılar, URL ve şifre hijyenine dikkat edilmesini ve MFA için FIDO2 uyumlu güvenlik anahtarlarının kullanılmasını öneriyor. Grimes, 'Hangi MFA kullanılırsa kullanılsın, kullanıcıya kullandığı MFA türüne yönelik yaygın saldırı türleri, bunları nasıl tanıyacağı ve nasıl yanıt vereceği öğretilmelidir' diye ekledi.

Kaynak: threatpost.com

Paylaş: