Поставщик услуг идентификации Okta в пятницу предупредил об атаках социальной инженерии, организованных участниками угрозы для получения повышенных прав администратора.
"В последние недели несколько клиентов Okta в США сообщили о последовательной серии атак социальной инженерии на персонал IT service desk, в которых стратегия вызывающего абонента заключалась в том, чтобы убедить персонал service desk сбросить все факторы многофакторной аутентификации (MFA), зарегистрированные пользователями с высокими привилегиями", - сказали в компании.
Затем злоумышленник перешел к злоупотреблению высокопривилегированными учетными записями суперадминистратора Okta, чтобы выдавать себя за пользователей внутри скомпрометированной организации. Кампания, по данным компании, проходила в период с 29 июля по 19 августа 2023 года.
Okta не раскрыла личность субъекта угрозы, но тактика демонстрирует все признаки кластера активности, известного как запутанные Весы, который, как говорят, в некоторой степени пересекается с Scattered Spider и Scatter Swine.
Центральное место в атаках занимает коммерческий фишинговый набор под названием 0ktapus, который предлагает готовые шаблоны для создания реалистичных поддельных порталов аутентификации и, в конечном счете, сбора учетных данных и кодов многофакторной аутентификации (MFA). Она также включает встроенный канал командования и управления (C2) через Telegram.
Ранее, в июне 2023 года, подразделение Palo Alto Networks 42 сообщило The Hacker News, что множество участников угрозы "добавляют это в свой арсенал" и что "использование одного только фишингового набора 0ktapus не обязательно классифицирует субъекта угрозы" как запутанную Libra.
В нем также говорится, что не удалось найти достаточно данных о таргетинге, постоянстве или целях, чтобы подтвердить связь между субъектом и некатегоризированной группой, которую принадлежащий Google Mandiant отслеживает как UNC3944, которая, как известно, также использует аналогичные методы.
"Рассеянный паук в основном использовался для организаций, занимающихся телекоммуникациями и аутсорсингом бизнес-процессов (BPO)", - сказал исследователь Trellix Феликс Олуох в анализе, опубликованном в прошлом месяце. "Однако недавняя активность указывает на то, что эта группа начала атаковать другие секторы, включая организации критической инфраструктуры".
В последней серии атак утверждается, что субъекты угрозы уже владеют паролями, принадлежащими привилегированным учетным записям пользователей, или "могут управлять потоком делегированной аутентификации через Active Directory (AD)", прежде чем позвонить в службу технической поддержки целевой компании, чтобы запросить сброс всех факторов MFA, связанных с учетной записью.
Доступ к учетным записям суперадминистратора впоследствии используется для присвоения более высоких привилегий другим учетным записям, сброса зарегистрированных аутентификаторов в существующих учетных записях администратора и даже удаления требований второго фактора из политик аутентификации в некоторых случаях.
"Было замечено, что субъект угрозы настраивал второго поставщика удостоверений в качестве "приложения-олицетворения" для доступа к приложениям в скомпрометированной организации от имени других пользователей", - сказал Okta. "Этот второй поставщик удостоверений, также контролируемый злоумышленником, будет действовать как "исходный" IdP во входящих отношениях федерации (иногда называемых "Org2Org") с целью".
"С помощью этого "исходного" IdP исполнитель угрозы изменил параметр имени пользователя для целевых пользователей во втором "исходном" поставщике удостоверений, чтобы он соответствовал реальному пользователю в скомпрометированном "целевом" поставщике удостоверений. Это обеспечило возможность единого входа (SSO) в приложения целевого IdP в качестве целевого пользователя ".
В качестве контрмер компания рекомендует клиентам применять аутентификацию, защищенную от фишинга, усилить процессы проверки личности в службе поддержки, включить уведомления конечных пользователей о новых устройствах и подозрительных действиях, а также пересмотреть и ограничить использование ролей суперадминистратора.
"В последние недели несколько клиентов Okta в США сообщили о последовательной серии атак социальной инженерии на персонал IT service desk, в которых стратегия вызывающего абонента заключалась в том, чтобы убедить персонал service desk сбросить все факторы многофакторной аутентификации (MFA), зарегистрированные пользователями с высокими привилегиями", - сказали в компании.
Затем злоумышленник перешел к злоупотреблению высокопривилегированными учетными записями суперадминистратора Okta, чтобы выдавать себя за пользователей внутри скомпрометированной организации. Кампания, по данным компании, проходила в период с 29 июля по 19 августа 2023 года.
Okta не раскрыла личность субъекта угрозы, но тактика демонстрирует все признаки кластера активности, известного как запутанные Весы, который, как говорят, в некоторой степени пересекается с Scattered Spider и Scatter Swine.
Центральное место в атаках занимает коммерческий фишинговый набор под названием 0ktapus, который предлагает готовые шаблоны для создания реалистичных поддельных порталов аутентификации и, в конечном счете, сбора учетных данных и кодов многофакторной аутентификации (MFA). Она также включает встроенный канал командования и управления (C2) через Telegram.
Ранее, в июне 2023 года, подразделение Palo Alto Networks 42 сообщило The Hacker News, что множество участников угрозы "добавляют это в свой арсенал" и что "использование одного только фишингового набора 0ktapus не обязательно классифицирует субъекта угрозы" как запутанную Libra.
В нем также говорится, что не удалось найти достаточно данных о таргетинге, постоянстве или целях, чтобы подтвердить связь между субъектом и некатегоризированной группой, которую принадлежащий Google Mandiant отслеживает как UNC3944, которая, как известно, также использует аналогичные методы.
"Рассеянный паук в основном использовался для организаций, занимающихся телекоммуникациями и аутсорсингом бизнес-процессов (BPO)", - сказал исследователь Trellix Феликс Олуох в анализе, опубликованном в прошлом месяце. "Однако недавняя активность указывает на то, что эта группа начала атаковать другие секторы, включая организации критической инфраструктуры".
В последней серии атак утверждается, что субъекты угрозы уже владеют паролями, принадлежащими привилегированным учетным записям пользователей, или "могут управлять потоком делегированной аутентификации через Active Directory (AD)", прежде чем позвонить в службу технической поддержки целевой компании, чтобы запросить сброс всех факторов MFA, связанных с учетной записью.
Доступ к учетным записям суперадминистратора впоследствии используется для присвоения более высоких привилегий другим учетным записям, сброса зарегистрированных аутентификаторов в существующих учетных записях администратора и даже удаления требований второго фактора из политик аутентификации в некоторых случаях.
"Было замечено, что субъект угрозы настраивал второго поставщика удостоверений в качестве "приложения-олицетворения" для доступа к приложениям в скомпрометированной организации от имени других пользователей", - сказал Okta. "Этот второй поставщик удостоверений, также контролируемый злоумышленником, будет действовать как "исходный" IdP во входящих отношениях федерации (иногда называемых "Org2Org") с целью".
"С помощью этого "исходного" IdP исполнитель угрозы изменил параметр имени пользователя для целевых пользователей во втором "исходном" поставщике удостоверений, чтобы он соответствовал реальному пользователю в скомпрометированном "целевом" поставщике удостоверений. Это обеспечило возможность единого входа (SSO) в приложения целевого IdP в качестве целевого пользователя ".
В качестве контрмер компания рекомендует клиентам применять аутентификацию, защищенную от фишинга, усилить процессы проверки личности в службе поддержки, включить уведомления конечных пользователей о новых устройствах и подозрительных действиях, а также пересмотреть и ограничить использование ролей суперадминистратора.
