Доставчикът на услуги за идентификация Okta предупреди в петък за атаки със социален инженеринг, организирани от  заплахи за получаване на повишени администраторски разрешения.

„През последните седмици множество клиенти на Okta, базирани в САЩ, съобщават за последователен модел на атаки със социален инженеринг срещу персонала на ИТ отдела за обслужване, при които стратегията на обаждащия се е била да убеди персонала на отдела за обслужване да нулира всички фактори за многофакторна автентикация (MFA), записани от високо привилегировани потребители“, заяви компанията.

След това противникът е започнал да злоупотребява с високопривилегированите акаунти Okta Super Administrator, за да се представя за потребители в компрометираната организация. Според компанията кампанията е проведена между 29 юли и 19 август 2023 г.

Okta не разкрива самоличността на извършителя на заплахата, но тактиката проявява всички отличителни белези на клъстер от дейности, известен като Muddled Libra, за който се твърди, че има известна степен на припокриване с Scattered Spider и Scatter Swine.

Централно място в атаките заема комерсиален комплект за фишинг, наречен 0ktapus, който предлага предварително подготвени шаблони за създаване на реалистични фалшиви портали за удостоверяване и в крайна сметка за събиране на идентификационни данни и кодове за многофакторно удостоверяване (MFA). Той включва и вграден канал за командване и контрол (C2) чрез Telegram.

По-рано, през юни 2023 г., отдел 42 на Palo Alto Networks заяви пред The Hacker News, че множество  заплахи „го добавят към арсенала си“ и че „използването само на фишинг комплекта 0ktapus не класифицира непременно дадена заплаха“ като Muddled Libra.

Отделът също така заяви, че не може да открие достатъчно данни за насоченост, устойчивост или цели, за да потвърди връзката между извършителя и некатегоризирана група, която Mandiant, собственост на Google, проследява като UNC3944, за която също е известно, че използва подобен tradecraft.

„Scattered Spider е наблюдаван предимно като насочен към организации в областта на телекомуникациите и аутсорсинга на бизнес процеси (BPO)“, казва изследователят на Trellix Феликс Олуох в анализ, публикуван миналия месец. „Неотдавнашната активност обаче показва, че тази група е започнала да се насочва към други сектори, включително към организации от критичната инфраструктура.“

При последната серия от атаки се твърди, че участниците в заплахата вече притежават пароли, принадлежащи на привилегировани потребителски акаунти, или „могат да манипулират делегирания поток за удостоверяване чрез Active Directory (AD)“, преди да се обадят на ИТ отдела за помощ на целевата компания, за да поискат нулиране на всички MFA фактори, свързани с акаунта.

Впоследствие достъпът до акаунтите на супер администратори се използва за присвояване на по-високи привилегии на други акаунти, нулиране на записаните удостоверители в съществуващите акаунти на администратори и в някои случаи дори за премахване на изискванията за втори фактор от политиките за удостоверяване.

„Наблюдаван е извършителят на заплахата, който конфигурира втори доставчик на идентичност, за да действа като „приложение за олицетворяване“ за достъп до приложения в компрометираната организация от името на други потребители“, казва Okta. „Този втори доставчик на самоличност, също контролиран от нападателя, ще действа като IdP „източник“ във входяща връзка на федерация (понякога наричана „Org2Org“) с целта.“

„От този IdP „източник“ заплашващият манипулира параметъра на потребителското име за целевите потребители във втория доставчик на идентичност „източник“, за да съвпадне с реален потребител в компрометирания доставчик на идентичност „цел“. Това осигури възможност за Single sign-on (SSO) в приложенията в целевия IdP като целевия потребител.“

Като мерки за противодействие компанията препоръчва на клиентите да наложат устойчива на фишинг автентификация, да засилят процесите за проверка на самоличността в бюрото за помощ, да активират известия за нови устройства и подозрителни дейности за крайните потребители, както и да прегледат и ограничат използването на ролите на супер администратор.

Източник: The Hacker News

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
6 февруари 2025

Руските хакери са използвали 0-Day уязвимост в ...

Руски групи за заплахи са провеждали кампании за кибершпионаж срещу...
Бъдете социални
Още по темата
20/01/2025

HPE разследва твърдения за ...

HPE започна разследване, след като известен...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
13/01/2025

Нарушение в Telefonica разк...

Многонационалната телекомуникационна компания Telefonica със седалище...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!