Bu ayın başlarında karmaşık bir kimlik avı saldırısı haline gelen Twilio, geçen hafta tehdit aktörlerinin Authy iki faktörlü kimlik doğrulama (2FA) hizmetinin 93 bireysel kullanıcısının hesaplarına erişmeyi başardığını açıkladı.
iletişim araçları şirketi söz konusu yetkisiz erişim, saldırganın bu hesaplara ek cihazlar kaydetmesini mümkün kıldı. O zamandan beri, yasa dışı olarak eklenen cihazları, etkilenen hesaplardan belirledi ve kaldırdı.
Şubat 2015’te Twilio tarafından satın alınan Authy, çevrimiçi hesapları koruma hesap devralma saldırılarını önlemek için ikinci bir güvenlik katmanı ile. Yaklaşık 75 milyon kullanıcısı olduğu tahmin ediliyor.
Twilio, 24 Ağustos 2022 itibariyle yaptığı soruşturmanın, 10 Ağustos’ta bildirdiği 125’ten 163 etkilenen müşteriye ulaştığını ve hesaplarının sınırlı bir süre için saldırıya uğradığını söyledi.
Twilio’nun yanı sıra, Group-IB tarafından 0ktapus olarak adlandırılan genişleyen kampanyanın, Klaviyo, MailChimp dahil 136 şirketi ve şirketin donanım güvenlik belirteçlerini kullanmasıyla engellenen Cloudflare’e karşı başarısız bir saldırıyı vurduğuna inanılıyor.
Hedeflenen şirketler, ilgili kuruluşların Okta kimlik doğrulama sayfalarını taklit eden sahte açılış sayfaları aracılığıyla kullanıcı adlarını, şifreleri ve tek seferlik şifreleri (OTP’ler) yakalamak için bir kimlik avı kiti kullanan kampanya ile teknoloji, telekomünikasyon ve kripto para sektörlerini kapsar.
Veriler daha sonra gerçek zamanlı olarak siber suçlular tarafından kontrol edilen bir Telegram hesabına gizlice akıtıldı ve ardından tehdit aktörünün Signal ve Okta’ya yönelik tedarik zinciri saldırısı olarak adlandırılan ve kapsamı ve ölçeği etkin bir şekilde genişleten diğer hizmetleri döndürmesine ve hedef almasına olanak sağladı. izinsiz girişlerden.
Toplamda, kimlik avı seferinin tehdit aktörünü en az 9.931 kullanıcı kimlik bilgisini ve 5.441 çok faktörlü kimlik doğrulama kodunu netleştirdiğine inanılıyor.
Okta, kendi adına, onaylanmış kimlik bilgisi hırsızlığının dalgalanma etkisi oldu ve az sayıda cep telefonu numarasına ve OTP’leri içeren ilişkili SMS mesajlarına Twilio’nun yönetim konsolu aracılığıyla yetkisiz erişimle sonuçlandı.
OTP’lerin beş dakikalık bir geçerlilik süresine sahip olduğunu belirten Okta, olayın saldırganın erişimini genişletmek amacıyla doğrudan konsolda 38 benzersiz telefon numarasını (neredeyse hepsi tek bir varlığa ait) aramasını içerdiğini söyledi.
Okta, “Tehdit aktörü, daha önce kimlik avı kampanyalarında SMS tabanlı MFA zorluklarını tetiklemek için çalınan kimlik bilgilerini (kullanıcı adları ve şifreler) kullandı ve Twilio sistemlerine erişimi, bu zorluklarda gönderilen tek seferlik şifreleri aramak için kullandı.”
Scatter Swine takma adıyla takip eden Okta, olay günlükleri analizini “tehdit aktörünün bu tekniği birincil hedefle ilgisi olmayan tek bir hesaba karşı başarıyla test ettiği bir olayı ortaya çıkardığını” açıkladı.
Cloudflare örneğinde olduğu gibi, kimlik ve erişim yönetimi (IAM) sağlayıcısı, saldırganın çalışanları ve aile üyelerini hedef alan çok sayıda SMS mesajı gönderdiği birkaç vakanın farkında olduğunu yineledi.
Okta, “Tehdit aktörü, telefon numaralarını belirli kuruluşlardaki çalışanlara bağlayan ticari olarak mevcut veri toplama hizmetlerinden cep telefonu numaralarını büyük olasılıkla toplar” dedi.
Kampanyanın bir diğer tedarik zinciri kurbanı da yemek dağıtım hizmeti DoorDash. söz konusu “Üçüncü taraf bir satıcının bilgisayar ağından gelen olağandışı ve şüpheli etkinlik” tespit etti ve şirketten, ihlali kontrol altına almak için satıcının sistemine erişimini devre dışı bırakmasını istedi.
Şirkete göre, izinsiz giriş, saldırganın “küçük bir yüzdesi” ile ilişkili adlara, e-posta adreslerine, teslimat adreslerine ve telefon numaralarına erişmesine izin verdi. Seçilmiş durumlarda, temel sipariş bilgilerine ve kısmi ödeme kartı bilgilerine de erişildi.
Etkilenen kullanıcıları doğrudan bilgilendiren DoorDash, yetkisiz tarafın teslimat sürücülerinin (aka Dashers) adlarını ve telefon numaralarını veya e-posta adreslerini de aldığını kaydetti, ancak şifrelere, banka hesap numaralarına ve Sosyal Güvenlik numaralarına erişilmediğini vurguladı.
San Francisco merkezli firma, üçüncü taraf satıcının kim olduğuna dair ek ayrıntıları açıklamadı, ancak TechCrunch’a şunları söyledi: ihlal bağlantılı 0ktapus kimlik avı kampanyasına.