Търсене
Close this search box.

Okta предупреждава за атаки със социален инженеринг

Доставчикът на услуги за идентификация Okta предупреди в петък за атаки със социален инженеринг, организирани от  заплахи за получаване на повишени администраторски разрешения.

„През последните седмици множество клиенти на Okta, базирани в САЩ, съобщават за последователен модел на атаки със социален инженеринг срещу персонала на ИТ отдела за обслужване, при които стратегията на обаждащия се е била да убеди персонала на отдела за обслужване да нулира всички фактори за многофакторна автентикация (MFA), записани от високо привилегировани потребители“, заяви компанията.

След това противникът е започнал да злоупотребява с високопривилегированите акаунти Okta Super Administrator, за да се представя за потребители в компрометираната организация. Според компанията кампанията е проведена между 29 юли и 19 август 2023 г.

Okta не разкрива самоличността на извършителя на заплахата, но тактиката проявява всички отличителни белези на клъстер от дейности, известен като Muddled Libra, за който се твърди, че има известна степен на припокриване с Scattered Spider и Scatter Swine.

Централно място в атаките заема комерсиален комплект за фишинг, наречен 0ktapus, който предлага предварително подготвени шаблони за създаване на реалистични фалшиви портали за удостоверяване и в крайна сметка за събиране на идентификационни данни и кодове за многофакторно удостоверяване (MFA). Той включва и вграден канал за командване и контрол (C2) чрез Telegram.

По-рано, през юни 2023 г., отдел 42 на Palo Alto Networks заяви пред The Hacker News, че множество  заплахи „го добавят към арсенала си“ и че „използването само на фишинг комплекта 0ktapus не класифицира непременно дадена заплаха“ като Muddled Libra.

Отделът също така заяви, че не може да открие достатъчно данни за насоченост, устойчивост или цели, за да потвърди връзката между извършителя и некатегоризирана група, която Mandiant, собственост на Google, проследява като UNC3944, за която също е известно, че използва подобен tradecraft.

„Scattered Spider е наблюдаван предимно като насочен към организации в областта на телекомуникациите и аутсорсинга на бизнес процеси (BPO)“, казва изследователят на Trellix Феликс Олуох в анализ, публикуван миналия месец. „Неотдавнашната активност обаче показва, че тази група е започнала да се насочва към други сектори, включително към организации от критичната инфраструктура.“

При последната серия от атаки се твърди, че участниците в заплахата вече притежават пароли, принадлежащи на привилегировани потребителски акаунти, или „могат да манипулират делегирания поток за удостоверяване чрез Active Directory (AD)“, преди да се обадят на ИТ отдела за помощ на целевата компания, за да поискат нулиране на всички MFA фактори, свързани с акаунта.

Впоследствие достъпът до акаунтите на супер администратори се използва за присвояване на по-високи привилегии на други акаунти, нулиране на записаните удостоверители в съществуващите акаунти на администратори и в някои случаи дори за премахване на изискванията за втори фактор от политиките за удостоверяване.

„Наблюдаван е извършителят на заплахата, който конфигурира втори доставчик на идентичност, за да действа като „приложение за олицетворяване“ за достъп до приложения в компрометираната организация от името на други потребители“, казва Okta. „Този втори доставчик на самоличност, също контролиран от нападателя, ще действа като IdP „източник“ във входяща връзка на федерация (понякога наричана „Org2Org“) с целта.“

„От този IdP „източник“ заплашващият манипулира параметъра на потребителското име за целевите потребители във втория доставчик на идентичност „източник“, за да съвпадне с реален потребител в компрометирания доставчик на идентичност „цел“. Това осигури възможност за Single sign-on (SSO) в приложенията в целевия IdP като целевия потребител.“

Като мерки за противодействие компанията препоръчва на клиентите да наложат устойчива на фишинг автентификация, да засилят процесите за проверка на самоличността в бюрото за помощ, да активират известия за нови устройства и подозрителни дейности за крайните потребители, както и да прегледат и ограничат използването на ролите на супер администратор.

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
13/04/2024

На федералните агенции на С...

В четвъртък Агенцията за киберсигурност и...
10/04/2024

AT&T твърди, че пробива...

AT&T уведомява 51 милиона бивши и...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!