Group-IB:0ktapus网络钓鱼攻击导致包括Twilio在内的130个组织的数万个凭据被盗让路。其中,Twilio的双因素身份验证(2FA)系统遭到破坏,允许攻击者访问其内部系统。现在,安全研究人员已经找到了这次大规模网络钓鱼攻击的幕后黑手,该攻击导致130个组织的近10,000个帐户凭据被盗。Twilio和Cloudflare透露的细节表明,这次网络钓鱼攻击是按照外科手术般的精确度和计划执行的。首先,攻击者通过不明渠道获取员工的私人电话号码(在某些情况下,还包括其家人的电话号码),然后发送短信诱使员工登录精心伪造的身份验证页面。受害者遇到的常规钓鱼套路(图片来自:Group-IB)在40分钟内,76名Cloudflare员工收到了钓鱼短信——其中包括一个在攻击前40分钟才注册的域名,以绕过公司针对虚假威胁站点的黑名单保护策略。接下来,钓鱼攻击者利用代理站点进行实时劫持,截获用于Twilio双因素(2FA)身份验证的一次性验证码,并将其应用于真实站点。区域范围然后大约在同一时间,攻击者利用他们对Twilio网络的访问权限窃取了大约1,900个SignalMessenger用户的电话号码。根据Group-IB周四发布的一份安全报告,Twilio参与了名为“0Ktapus”的更大规模网络钓鱼攻击。在过去六个月中,来自130个组织的9,931个凭据通过相同的例程遭到破坏。行业影响分析发现,为了引诱受害者上钩,幕后攻击者使用了至少169个唯一的互联网域名——通常包括单点登录(SSO)、虚拟专用网络、多因素身份验证(MFA))、帮助(HELP)等关键字。为了充分利用现有的攻击手段,幕后黑客选择通过此前不为人知但雷同的钓鱼工具包搭建钓鱼网站,其规模和范围前所未有——至少从2022年3月至今。绰号“X”的疑似管理员信息Group-IB研究人员补充说,正如Signal所披露的那样,一旦攻击者成功入侵了一个组织,他们就可以迅速转向并发起一系列后续的供应链攻击。虽然没有具体说明哪些公司受到影响,但只表示至少有114家位于美国或在美国设有分支机构——其中IT、软件开发和云服务公司成为0ktapus钓鱼的首要目标攻击。安全研究人员推测袭击者位于北卡罗来纳州,Okta在周四的帖子中也透露了它是受害者之一。可以看出,钓鱼攻击者会将受害者引诱到Telegram频道,以绕过基于一次性验证码的2FA验证保护。当受害者在精心制作的网站上输入用户名和密码时,机密信息会立即传递给攻击者,从而导致真实网站遭到破坏。据ArsTechnica称,此类事件的反复发生揭示了现代组织在巧妙的社会工程攻击面前的脆弱性,以及它们可能对合作伙伴和客户产生的深远影响。
