Công ty phát triển phần mềm Retool đã tiết lộ rằng tài khoản của 27 khách hàng trên nền tảng đám mây của họ đã bị xâm phạm sau một cuộc tấn công kỹ thuật xã hội dựa trên SMS và có chủ đích.
Công ty có trụ sở tại San Francisco đổ lỗi cho tính năng đồng bộ hóa đám mây Tài khoản Google được giới thiệu gần đây vào tháng 4 năm 2023 là nguyên nhân khiến vi phạm trở nên tồi tệ hơn, gọi đó là "mô hình đen tối".
Snir Kodesh, trưởng bộ phận kỹ thuật của Retool, cho biết : “Việc Google Authenticator đồng bộ hóa với đám mây là một phương thức tấn công mới . "Những gì chúng tôi triển khai ban đầu là xác thực đa yếu tố. Nhưng thông qua bản cập nhật này của Google, xác thực đa yếu tố trước đây đã âm thầm (đối với quản trị viên) trở thành xác thực một yếu tố."
Retool cho biết vụ việc xảy ra vào ngày 27 tháng 8 năm 2023 không cho phép truy cập trái phép vào các tài khoản tại chỗ hoặc được quản lý. Nó cũng trùng hợp với việc công ty chuyển thông tin đăng nhập của họ sang Okta.
Mọi chuyện bắt đầu bằng một cuộc tấn công lừa đảo qua SMS nhằm vào nhân viên của họ, trong đó những kẻ đe dọa giả dạng thành viên của nhóm CNTT và hướng dẫn người nhận nhấp vào một liên kết có vẻ hợp pháp để giải quyết vấn đề liên quan đến tiền lương.
Một nhân viên đã rơi vào bẫy lừa đảo, dẫn họ đến một trang đích giả mạo lừa họ cung cấp thông tin xác thực của mình. Trong giai đoạn tiếp theo của cuộc tấn công, tin tặc đã gọi điện cho nhân viên, một lần nữa giả làm thành viên nhóm CNTT bằng cách giả mạo "giọng nói thực" của họ để lấy mã xác thực đa yếu tố (MFA).
Kodesh cho biết: “Mã thông báo OTP bổ sung được chia sẻ qua cuộc gọi là rất quan trọng vì nó cho phép kẻ tấn công thêm thiết bị cá nhân của chúng vào tài khoản Okta của nhân viên, cho phép họ tạo Okta MFA của riêng mình từ thời điểm đó trở đi”. "Điều này giúp họ có phiên G Suite [nay là Google Workspace] đang hoạt động trên thiết bị đó."
Việc nhân viên này cũng đã kích hoạt tính năng đồng bộ hóa đám mây của Google Authenticator đã cho phép các tác nhân đe dọa có được quyền truy cập nâng cao vào hệ thống quản trị nội bộ của họ và chiếm đoạt hiệu quả các tài khoản của 27 khách hàng trong ngành tiền điện tử.
Những kẻ tấn công cuối cùng đã thay đổi email của những người dùng đó và đặt lại mật khẩu của họ. Fortress Trust, một trong những người dùng bị ảnh hưởng, đã chứng kiến số tiền điện tử trị giá gần 15 triệu USD bị đánh cắp do vụ hack, CoinDesk đưa tin
Kodesh chỉ ra: “Bởi vì việc kiểm soát tài khoản Okta dẫn đến việc kiểm soát tài khoản Google, dẫn đến việc kiểm soát tất cả các OTP được lưu trữ trong Google Authenticator”.
Nếu có bất cứ điều gì, cuộc tấn công tinh vi cho thấy rằng việc đồng bộ hóa mã một lần với đám mây có thể phá vỡ yếu tố "thứ mà người dùng có", bắt buộc người dùng phải dựa vào khóa hoặc mật khẩu bảo mật phần cứng tuân thủ FIDO2 để đánh bại các cuộc tấn công lừa đảo.
Mặc dù danh tính chính xác của tin tặc không được tiết lộ, nhưng phương thức hoạt động có những điểm tương đồng với phương thức của một kẻ đe dọa có động cơ tài chính được theo dõi là Scattered Spider (còn gọi là UNC3944), vốn nổi tiếng với các chiến thuật lừa đảo tinh vi.
Mandiant tiết lộ vào tuần trước: “Dựa trên phân tích các miền lừa đảo UNC3944 bị nghi ngờ, có thể hợp lý rằng trong một số trường hợp, các tác nhân đe dọa đã sử dụng quyền truy cập vào môi trường nạn nhân để lấy thông tin về hệ thống nội bộ và tận dụng thông tin đó để tạo điều kiện cho các chiến dịch lừa đảo phù hợp hơn”. .
“Ví dụ: trong một số trường hợp, các tác nhân đe dọa dường như tạo ra các miền lừa đảo mới bao gồm tên của các hệ thống nội bộ.”
Việc sử dụng deepfake và phương tiện tổng hợp cũng là chủ đề của lời khuyên mới từ chính phủ Hoa Kỳ, cảnh báo rằng deepfake âm thanh, video và văn bản có thể được sử dụng cho nhiều mục đích độc hại, bao gồm cả các cuộc tấn công xâm phạm email doanh nghiệp (BEC). và lừa đảo tiền điện tử.