0ktapus Tehdit Grubu 130 Şirketi Hedef Aldı: Okta Kimlik Bilgileri ve MFA Kodları Çalındı Siber Güvenlik

0ktapus Tehdit Grubu 130 Şirketi Hedef Aldı: Okta Kimlik Bilgileri ve MFA Kodları Çalındı

0ktapus tehdit grubu, 130'dan fazla şirketi hedef alan dev bir kimlik avı kampanyasıyla Okta kimlik bilgilerini ve MFA kodlarını çaldı.

Siber güvenlik araştırmacıları, Twilio ve Cloudflare çalışanlarına yönelik hedefli saldırıların arkasında, 130'dan fazla organizasyonda 9.931 hesabın ele geçirilmesine yol açan büyük bir kimlik avı kampanyasının olduğunu tespit etti. '0ktapus' olarak adlandırılan bu tehdit grubu, özellikle kimlik ve erişim yönetimi firması Okta'yı hedef alarak dikkat çekiyor. Group-IB araştırmacıları, saldırganların birincil amacının, hedef organizasyonların kullanıcılarından Okta kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını ele geçirmek olduğunu belirtti.

Saldırganlar, kurbanlara SMS yoluyla, hedef şirketin Okta kimlik doğrulama sayfasını taklit eden bağlantılar gönderdi. Bu bağlantılara tıklayan kullanıcılar, Okta kimlik bilgilerini ve MFA kodlarını girmeleri istenen sahte sayfalara yönlendirildi. Etkilenen şirketlerin 114'ü ABD merkezliyken, diğer kurbanlar 68 farklı ülkeye yayılmış durumda. Group-IB kıdemli tehdit istihbarat analisti Roberto Martinez, kampanyanın tam kapsamının henüz bilinmediğini ve bu kadar başarılı bir kampanyanın boyutlarının bir süre daha tam olarak anlaşılamayabileceğini ifade etti.

0ktapus saldırganlarının, kampanyalarına telekomünikasyon şirketlerini hedef alarak başladığı düşünülüyor. Bu sayede potansiyel hedeflerin telefon numaralarına erişmeyi amaçladılar. Group-IB'in analizine göre, saldırganlar ilk olarak mobil operatörleri ve telekom şirketlerini hedef almış ve bu saldırılardan telefon numaralarını toplamış olabilir. Daha sonra bu numaralara kimlik avı bağlantıları gönderildi. Saldırının nihai hedefi ise şirket posta listelerine veya müşteriye dönük sistemlere erişerek tedarik zinciri saldırıları gerçekleştirmekti.

Saldırıyla ilgili olası bir bağlantıda, DoorDash şirketi geçtiğimiz hafta 0ktapus tarzı bir saldırıya uğradığını açıkladı. Saldırganlar, bir tedarikçi çalışanının çalıntı kimlik bilgilerini kullanarak şirket iç araçlarına erişti ve müşteri ile teslimatçıların kişisel bilgilerini çaldı. Group-IB raporuna göre, kampanya sırasında 5.441 MFA kodu ele geçirildi. Araştırmacılar, MFA gibi güvenlik önlemlerinin güvenli görünse de saldırganların nispeten basit araçlarla bunları aşabildiğine dikkat çekti. KnowBe4'ten Roger Grimes, kullanıcıların kolayca avlanabilen şifrelerden kolayca avlanabilen MFA'ya geçirilmesinin anlamsız olduğunu vurguladı. 0ktapus benzeri kampanyalardan korunmak için URL ve şifre hijyenine dikkat edilmesi ve MFA için FIDO2 uyumlu güvenlik anahtarlarının kullanılması öneriliyor.

Paylaş: