身份服务提供商Okta上周五(9月1日)警告称,有威胁行为者针对该公司进行了一次社会工程攻击获得了管理员权限。
该公司表示:最近几周,多家美国Okta客户报告了多个针对IT服务人员的社会工程攻击。这些威胁行为者会打电话给服务台人员,然后要求重置高权限用户注册的所有多因素身份验证(MFA)因子,从而开始滥用Okta超级管理员帐户的最高权限来冒充受感染组织内的用户。该公司表示,这些活动发生在2023年7月29日至8月19日之间。
虽然Okta没有透露威胁参与者的身份,但其使用的攻击战术符合名为“Muddled Libra”的活动集群的所有特征,据说它与“Scattered Spider”和“Scatter Swine”也有一定的关联。
这些攻击的核心是一个名为 0ktapus 的商业网络钓鱼工具包,它提供预制模板来创建更为逼真的虚假身份验证门户,并最终获取凭证和多因素身份验证(MFA)代码。它还通过Telegram整合了一个内置的命令与控制 (C2) 通道。
Palo Alto Networks 的第42部门曾在 2023 年 6 月告诉《The Hacker News》,有多个威胁行为体正在 "将其添加到自己的武器库中",而且 "仅使用 0ktapus 钓鱼工具包并不一定能将威胁行为体归类为 "Muddled Libra"。
该公司还表示,它无法找到足够的关于目标定位、持续性或目的的数据,以确认该行为体与谷歌旗下的 Mandiant 追踪的一个未分类组织 UNC3944 之间的联系。据悉,该组织也采用类似的手法。
Trellix 研究员 Phelix Oluoch 在上个月发布的一份分析报告中指出:Scattered Spider 主要针对电信和业务流程外包(BPO)组织。然而,最近的活动表明这个组织已经开始瞄准其他行业,包括关键基础设施组织。
在最新的一组攻击中,威胁分子已经掌握了属于特权用户账户的密码,或者 "能够通过活动目录(AD)操纵委托身份验证流",然后再致电目标公司的 IT 服务台,要求重置与账户相关的所有 MFA 因子。
超级管理员账户的访问权限随后被用来为其他账户分配更高的权限,重置现有管理员账户中的注册验证器,甚至在某些情况下从验证策略中移除第二要素要求。
Okta表示:据观察,威胁行为者已经配置了第二个身份提供程序,以作为'冒充的应用程序',代表其他用户访问被入侵组织内的应用程序。"这第二个身份提供商也由攻击者控制,将在与目标的入站联盟关系(有时称为'Org2Org')中充当'源'IdP"。
通过这个'源'IdP,威胁者操纵了第二个'源'身份提供商中目标用户的用户名参数,使其与被攻击的'目标'身份提供商中的真实用户相匹配。这就提供了以目标用户身份单点登录(SSO)目标身份提供商应用程序的能力。
该公司建议客户执行防网络钓鱼身份验证,加强服务台身份验证流程,启用新设备和可疑活动通知,并审查和限制超级管理员角色的使用,从而更好的应对此类攻击。