Nhà cung cấp dịch vụ nhận dạng Okta hôm thứ Sáu đã cảnh báo về các cuộc tấn công kỹ thuật xã hội do các tác nhân đe dọa dàn dựng để giành được quyền quản trị viên nâng cao.
“Trong những tuần gần đây, nhiều khách hàng Okta có trụ sở tại Hoa Kỳ đã báo cáo một mô hình tấn công kỹ thuật xã hội nhất quán nhằm vào nhân viên bộ phận dịch vụ CNTT, trong đó chiến lược của người gọi là thuyết phục nhân viên bộ phận dịch vụ đặt lại tất cả các yếu tố xác thực đa yếu tố (MFA) đã được đăng ký bởi người dùng có đặc quyền cao", công ty cho biết .
Sau đó, kẻ thù đã chuyển sang lạm dụng các tài khoản Quản trị viên cấp cao Okta có đặc quyền cao để mạo danh người dùng trong tổ chức bị xâm nhập. Theo công ty, chiến dịch này diễn ra từ ngày 29 tháng 7 đến ngày 19 tháng 8 năm 2023.
Okta không tiết lộ danh tính của tác nhân đe dọa, nhưng các chiến thuật này thể hiện tất cả các điểm nổi bật của một cụm hoạt động được gọi là Muddled Libra , được cho là có chung một số mức độ trùng lặp với Scattered Spider và Scatter Swine.
Trọng tâm của các cuộc tấn công là một công cụ lừa đảo thương mại có tên 0ktapus, cung cấp các mẫu được tạo sẵn để tạo các cổng xác thực giả thực tế và cuối cùng là thu thập thông tin xác thực và mã xác thực đa yếu tố (MFA). Nó cũng kết hợp kênh chỉ huy và kiểm soát (C2) tích hợp thông qua Telegram.
Đơn vị 42 của Palo Alto Networks đã nói với The Hacker News trước đó vào tháng 6 năm 2023 rằng nhiều kẻ đe dọa đang "thêm nó vào kho vũ khí của họ" và rằng "chỉ sử dụng bộ công cụ lừa đảo 0ktapus không nhất thiết phải phân loại kẻ đe dọa" là Muddled Libra.
Họ cũng cho biết họ không thể tìm thấy đủ dữ liệu về việc nhắm mục tiêu, tính kiên trì hoặc mục tiêu để xác nhận mối liên hệ giữa tác nhân và một nhóm chưa được phân loại mà Mandiant thuộc sở hữu của Google theo dõi là UNC3944, nhóm này cũng được biết là sử dụng thủ thuật tương tự.
Nhà nghiên cứu Phelix Oluoch của Trellix cho biết trong một phân tích được công bố vào tháng trước : “Scattered Spider phần lớn được quan sát thấy nhắm mục tiêu vào các tổ chức viễn thông và Gia công quy trình kinh doanh (BPO) . “Tuy nhiên, hoạt động gần đây cho thấy nhóm này đã bắt đầu nhắm mục tiêu vào các lĩnh vực khác, bao gồm cả các tổ chức cơ sở hạ tầng quan trọng.”
Trong loạt cuộc tấn công mới nhất, kẻ tấn công được cho là đã sở hữu mật khẩu của tài khoản người dùng đặc quyền hoặc “có thể thao túng luồng xác thực được ủy quyền thông qua Active Directory (AD)” trước khi gọi tới bộ phận trợ giúp CNTT của mục tiêu. công ty yêu cầu thiết lập lại tất cả các yếu tố MFA được liên kết với tài khoản.
Quyền truy cập vào tài khoản Quản trị viên cấp cao sau đó được sử dụng để gán đặc quyền cao hơn cho các tài khoản khác, đặt lại trình xác thực đã đăng ký trong tài khoản quản trị viên hiện có và thậm chí xóa yêu cầu yếu tố thứ hai khỏi chính sách xác thực trong một số trường hợp.
Okta cho biết: “Người ta đã quan sát thấy tác nhân đe dọa đang định cấu hình nhà cung cấp danh tính thứ hai hoạt động như một ‘ứng dụng mạo danh’ để truy cập các ứng dụng trong tổ chức bị xâm nhập thay mặt cho những người dùng khác”. “Nhà cung cấp danh tính thứ hai này, cũng do kẻ tấn công kiểm soát, sẽ hoạt động như một IdP 'nguồn' trong mối quan hệ liên kết gửi đến (đôi khi được gọi là 'Org2Org') với mục tiêu."
"Từ IdP 'nguồn' này, kẻ đe dọa đã thao túng tham số tên người dùng cho người dùng được nhắm mục tiêu trong Nhà cung cấp danh tính 'nguồn' thứ hai để khớp với người dùng thực trong Nhà cung cấp danh tính 'mục tiêu' bị xâm phạm. Điều này cung cấp khả năng đăng nhập một lần ( SSO) vào các ứng dụng trong IdP mục tiêu với tư cách là người dùng được nhắm mục tiêu."
Để đối phó, công ty khuyến nghị khách hàng nên thực thi xác thực chống lừa đảo, tăng cường quy trình xác minh danh tính của bộ phận trợ giúp, bật thông báo cho người dùng cuối về thiết bị mới và hoạt động đáng ngờ, đồng thời xem xét và hạn chế việc sử dụng vai trò Quản trị viên cấp cao.