Доставчикът на услуги за идентификация Okta предупреди в петък за атаки със социален инженеринг, организирани от заплахи за получаване на повишени администраторски разрешения.
„През последните седмици множество клиенти на Okta, базирани в САЩ, съобщават за последователен модел на атаки със социален инженеринг срещу персонала на ИТ отдела за обслужване, при които стратегията на обаждащия се е била да убеди персонала на отдела за обслужване да нулира всички фактори за многофакторна автентикация (MFA), записани от високо привилегировани потребители“, заяви компанията.
След това противникът е започнал да злоупотребява с високопривилегированите акаунти Okta Super Administrator, за да се представя за потребители в компрометираната организация. Според компанията кампанията е проведена между 29 юли и 19 август 2023 г.
Okta не разкрива самоличността на извършителя на заплахата, но тактиката проявява всички отличителни белези на клъстер от дейности, известен като Muddled Libra, за който се твърди, че има известна степен на припокриване с Scattered Spider и Scatter Swine.
Централно място в атаките заема комерсиален комплект за фишинг, наречен 0ktapus, който предлага предварително подготвени шаблони за създаване на реалистични фалшиви портали за удостоверяване и в крайна сметка за събиране на идентификационни данни и кодове за многофакторно удостоверяване (MFA). Той включва и вграден канал за командване и контрол (C2) чрез Telegram.
По-рано, през юни 2023 г., отдел 42 на Palo Alto Networks заяви пред The Hacker News, че множество заплахи „го добавят към арсенала си“ и че „използването само на фишинг комплекта 0ktapus не класифицира непременно дадена заплаха“ като Muddled Libra.
Отделът също така заяви, че не може да открие достатъчно данни за насоченост, устойчивост или цели, за да потвърди връзката между извършителя и некатегоризирана група, която Mandiant, собственост на Google, проследява като UNC3944, за която също е известно, че използва подобен tradecraft.
„Scattered Spider е наблюдаван предимно като насочен към организации в областта на телекомуникациите и аутсорсинга на бизнес процеси (BPO)“, казва изследователят на Trellix Феликс Олуох в анализ, публикуван миналия месец. „Неотдавнашната активност обаче показва, че тази група е започнала да се насочва към други сектори, включително към организации от критичната инфраструктура.“
При последната серия от атаки се твърди, че участниците в заплахата вече притежават пароли, принадлежащи на привилегировани потребителски акаунти, или „могат да манипулират делегирания поток за удостоверяване чрез Active Directory (AD)“, преди да се обадят на ИТ отдела за помощ на целевата компания, за да поискат нулиране на всички MFA фактори, свързани с акаунта.
Впоследствие достъпът до акаунтите на супер администратори се използва за присвояване на по-високи привилегии на други акаунти, нулиране на записаните удостоверители в съществуващите акаунти на администратори и в някои случаи дори за премахване на изискванията за втори фактор от политиките за удостоверяване.
„Наблюдаван е извършителят на заплахата, който конфигурира втори доставчик на идентичност, за да действа като „приложение за олицетворяване“ за достъп до приложения в компрометираната организация от името на други потребители“, казва Okta. „Този втори доставчик на самоличност, също контролиран от нападателя, ще действа като IdP „източник“ във входяща връзка на федерация (понякога наричана „Org2Org“) с целта.“
„От този IdP „източник“ заплашващият манипулира параметъра на потребителското име за целевите потребители във втория доставчик на идентичност „източник“, за да съвпадне с реален потребител в компрометирания доставчик на идентичност „цел“. Това осигури възможност за Single sign-on (SSO) в приложенията в целевия IdP като целевия потребител.“
Като мерки за противодействие компанията препоръчва на клиентите да наложат устойчива на фишинг автентификация, да засилят процесите за проверка на самоличността в бюрото за помощ, да активират известия за нови устройства и подозрителни дейности за крайните потребители, както и да прегледат и ограничат използването на ролите на супер администратор.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.