Connect with us

Technologie

La maison IAM Okta confirme l’attaque 0ktapus/Scatter Swine

Published

on


Le spécialiste de la gestion des identités et des accès Okta a averti ses clients d’être sur leurs gardes contre une campagne de phishing généralisée et percutante qui a déjà touché un nombre très limité de ses clients.

Cela intervient après que des chercheurs de Group-IB ont rassemblé des preuves qui ont lié plusieurs incidents récents, y compris une attaque contre Twilio, dans une campagne criminelle qui semble avoir fortement exploité la marque Okta, et la confiance que ses clients lui accordent, afin de compromettre ses cibles.

La campagne, qu’Okta a baptisée Scatter Swine – Group-IB a inventé un nom différent, 0ktapus – a révélé que les données de certains clients d’Okta étaient accessibles à l’acteur de la menace via les systèmes de Twilio.

L’équipe des cyberopérations défensives d’Okta a déterminé qu’un petit nombre de numéros de téléphone mobile et de messages SMS associés contenant des codes d’accès à usage unique étaient accessibles à l’acteur de la menace via la console Twilio.

« Okta a averti tous les clients où un numéro de téléphone était visible dans la console au moment de l’accès à la console », a déclaré un porte-parole de la société. « Il n’y a aucune action nécessaire pour les clients pour le moment. »

La propre enquête d’Okta a révélé que les événements de l’incident se sont déroulés comme suit. Le 7 août 2022, Twilio avait révélé que des comptes clients et des applications internes avaient été consultés lors d’attaques résultant d’un hameçonnage réussi. Elle a informé Okta que des données non spécifiées pertinentes pour ses clients avaient été consultées lors de cet incident le 8 août.

À ce stade, Okta a redirigé les communications par SMS vers un autre fournisseur afin de disposer d’un espace libre pour enquêter aux côtés de Twilio, qui a fourni des données telles que des journaux de systèmes internes qui pourraient être utilisés pour corréler et identifier l’étendue de l’activité liée à ses utilisateurs.

Cette activité, comme détaillé ci-dessus, a affecté 38 numéros de téléphone uniques, dont presque tous peuvent être liés à une seule organisation anonyme. Okta a déclaré qu’il semblait que l’acteur de la menace tentait d’élargir son accès à cette organisation. Il avait précédemment utilisé des noms d’utilisateur et des mots de passe volés dans des campagnes de phishing pour déclencher des défis d’authentification multifacteur par SMS sur sa cible et avait utilisé son accès aux systèmes de Twilio pour éliminer les codes d’accès uniques envoyés dans ces défis.

Par la suite, Okta s’est engagé dans la chasse aux menaces à travers ses journaux de plate-forme et a trouvé des preuves que l’acteur de la menace a également testé cette technique sur un seul compte sans rapport avec sa cible principale, mais n’a effectué aucune autre action. Rien ne prouve qu’il ait utilisé avec succès la technique pour étendre la portée de son accès au-delà de la cible principale.

Okta a déclaré que 0ktapus / Scatter Swine avait directement ciblé Okta dans le passé, mais n’avait pas pu accéder aux comptes en raison de sa sécurité interne.

Le groupe utilise l’infrastructure fournie par le fournisseur Bitlaunch, qui fournit des serveurs de DigitalOcean, Vultr et Linode. Ses bureaux d’enregistrement de noms de domaine préférés sont Namecheap et Porkbun, qui acceptent tous deux les paiements en bitcoins.

Il récolte initialement les numéros de téléphone des services d’agrégation de données qui lient les numéros de téléphone aux employés – Group-IB a présenté des preuves qu’il a peut-être piraté certains fournisseurs de communications pour obtenir ces données – et envoie des leurres de phishing en masse à plusieurs employés à ses cibles et même, dans certains cas, aux membres de leur famille. Il a été connu pour faire un suivi avec des appels téléphoniques prétendant être un agent de support technique, et dans ces appels, ses opérateurs parlent apparemment couramment l’anglais accentué par l’Amérique du Nord.

S’il parvient à obtenir les informations d’identification de l’utilisateur à partir de sa campagne de phishing, il tente alors de s’authentifier à l’aide d’un proxy anonymisé. Dans cette campagne, il a privilégié le service VPN Mullvad (Mole), un service commercial open source basé en Suède.

Son kit de phishing est conçu pour capturer les noms d’utilisateur, les mots de passe et les facteurs de mot de passe à usage unique, et il est connu pour déclencher plusieurs notifications push dans une tentative supplémentaire de tromper les cibles pour qu’elles autorisent l’accès à leurs comptes.

Il a enregistré plusieurs noms de domaine dans des formats courants pour inciter davantage les cibles à entrer leurs informations d’identification sur ses sites de phishing. Dans le cas des clients d’Okta, ceux-ci ont généralement pris la forme de [target company]-okta.com, .net, .org ou .us, bien que d’autres domaines aient également été utilisés.

Plus d’informations sur les tactiques, techniques et procédures de 0ktapus/Scatter Swine sont disponibles auprès d’Okta, qui conseille également à ses clients d’adopter une stratégie de défense en profondeur pour se protéger au mieux de cette attaque ou d’attaques similaires.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance