5

Group-IB:0ktapus网络钓鱼攻击导致Twilio等130个组织的上万凭据被窃取

 2 years ago
source link: https://www.51cto.com/article/717406.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

Group-IB:0ktapus网络钓鱼攻击导致Twilio等130个组织的上万凭据被窃取

作者:cnBeta 2022-08-29 21:36:40
现在,安全研究人员已找到这轮大规模网络钓鱼攻击的幕后黑手,可知 130 个组织近 10000 个账户凭据受到了被窃取。

两周前,Twilio 和 Cloudflare 披露了一场精心策划的网络钓鱼攻击,导致两家公司员工的账户凭据被泄露。其中 Twilio 的两步验证(2FA)系统被攻破,导致攻击者能够访问其内部系统。现在,安全研究人员已找到这轮大规模网络钓鱼攻击的幕后黑手,可知 130 个组织近 10000 个账户凭据受到了被窃取。

08f10c67449905f3d88694b92427373a1c381d.jpg

由 Twilio 和 Cloudflare 披露的细节可知,这轮网络钓鱼攻击有着相当于外科手术的精确度和执行计划。

首先,攻击者通过不明渠道获得了员工的私人电话号码(某些情况下还套路到了其家人的号码),然后通过发送短信来忽悠员工登录精心伪造的身份验证页面。

b842b3d7285dba01cf2711bce2e8e2e8475ab9.jpg

受害者遭遇的常规网络钓鱼套路(图自:Group-IB)

40 分钟内,76 名 Cloudflare 员工陆续收到了钓鱼短信 —— 其中包含一个在攻击实施 40 分钟前才注册的域名,以绕过该公司对假冒威胁站点的黑名单防护策略。

紧接着,网络钓鱼攻击者利用了代理站点来实时执行劫持,并截获了 Twilio 双因素(2FA)身份验证用的一次性验证码、并将之套用到了真实站点。

130384946b6c65243869169e2d185e1ab6910f.jpg

区域波及范围

于是几乎在同一时间,攻击者利用其对 Twilio 网络的访问权限、窃取了 Signal Messenger 约 1900 名用户的电话号码。

由 Group-IB 周四发布的安全报告可知,Twilio 被卷入了一场被称作“0Ktapus”的更大规模的网络钓鱼攻击事件。过去六个月时间里,同样的套路导致 130 个组织的 9931 个凭据被泄露。

a72116d71441f80f25b0179c03df6aac241cb7.jpg

行业波及范围

分析发现,为了引诱受害者上钩,幕后攻击者利用了至少 169 个独特的互联网域名 —— 常见包含单点登录(SSO)、虚拟专用网、多因素认证(MFA)、帮助(HELP)等关键词。

为了充分利用既有的攻击手段,幕后黑客选择了通过此前未知的、但相同的网络钓鱼工具包来打造钓鱼网站,且规模和范围前所未有 —— 至少从 2022 年 3 月持续至今。

81ce5ea320354cb7165356e8608a2cee35f930.jpg

疑似昵称“X”的管理员信息

Group-IB 研究人员补充道,正如 Signal 披露的那样,一旦攻击者成功侵入了一个组织,它们就能够迅速转向、并发起后续的一系列供应链攻击。

虽然没有指出到底有哪些公司受到了影响,仅称其中至少有 114 家位于美国、或在美设有分支机构的企业 —— 其中 IT、软件开发和云服务公司成为了 0ktapus 钓鱼攻击的首要目标。

f36afa06746f703633c6436c0fb992a8717774.jpg

安全研究人员推测攻击者位于北卡罗来纳州

周四的时候,Okta也在一篇帖子中透露了其为受害者之一。可知钓鱼攻击者会引诱受害者至 Telegram 频道,以绕过基于一次性验证码的 2FA 验证防护。

当受害者在精心伪造的站点上输入用户名和密码时,机密信息会即刻传递给攻击者、并导致真实站点沦陷。

ArsTechnica 指出—— 此类事件的不断上演,揭示了现代组织在面对手段并不高明的社会工程攻击时的脆弱性、及其对合作伙伴与客户能够造成的深远影响。

责任编辑:赵宁宁 来源: 今日头条

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK