Kimlik hizmetleri sağlayıcısı Okta Cuma günü, tehdit aktörlerinin yükseltilmiş yönetici izinleri elde etmek için düzenlediği sosyal mühendislik saldırıları konusunda uyardı.
“Son haftalarda, ABD merkezli çok sayıda Okta müşterisi, BT hizmet masası personeline yönelik tutarlı bir sosyal mühendislik saldırıları modeli rapor etti; bu saldırılarda arayanın stratejisi, hizmet masası personelini, BT hizmet masası personeline kaydedilen tüm çok faktörlü kimlik doğrulama (MFA) faktörlerini sıfırlamaya ikna etmekti. son derece ayrıcalıklı kullanıcılar” şirket söz konusu.
Daha sonra saldırgan, güvenliği ihlal edilen kuruluştaki kullanıcıların kimliğine bürünmek için yüksek ayrıcalıklı Okta Süper Yönetici hesaplarını kötüye kullanmaya başladı. Şirkete göre kampanya 29 Temmuz ile 19 Ağustos 2023 tarihleri arasında gerçekleşti.
Okta, tehdit aktörünün kimliğini açıklamadı ancak taktikler, Dağınık Örümcek ve Dağınık Domuz ile bir dereceye kadar örtüştüğü söylenen, Karışık Terazi olarak bilinen bir faaliyet kümesinin tüm özelliklerini taşıyor.
Saldırıların merkezinde, gerçekçi sahte kimlik doğrulama portalları oluşturmak ve sonuçta kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını toplamak için önceden hazırlanmış şablonlar sunan 0ktapus adı verilen ticari bir kimlik avı kiti yer alıyor. Ayrıca Telegram aracılığıyla yerleşik bir komut ve kontrol (C2) kanalı içerir.
Palo Alto Networks Birim 42, daha önce Haziran 2023’te The Hacker News’e birden fazla tehdit aktörünün bunu “cephaneliklerine eklediğini” ve “0ktapus kimlik avı kitini tek başına kullanmanın bir tehdit aktörünü mutlaka Muddled Libra olarak sınıflandırmayacağını” söylemişti.
Ayrıca, aktör ile Google’ın sahibi olduğu Mandiant’ın UNC3944 olarak takip ettiği ve benzer ticari uygulamaları kullandığı bilinen kategorize edilmemiş bir grup arasındaki bağlantıyı doğrulamak için hedefleme, kalıcılık veya hedefler hakkında yeterli veri bulamadığını da belirtti.
Trellix araştırmacısı Phelix Oluoch, “Dağınık Örümcek’in büyük ölçüde telekomünikasyon ve İş Süreci Dış Kaynak Kullanımı (BPO) kuruluşlarını hedef aldığı gözlemlendi.” söz konusu Geçen ay yayınlanan bir analizde. “Ancak son dönemdeki faaliyetler, bu grubun kritik altyapı kuruluşları da dahil olmak üzere diğer sektörleri hedef almaya başladığını gösteriyor.”
En son saldırılarda, tehdit aktörlerinin zaten ayrıcalıklı kullanıcı hesaplarına ait şifrelere sahip oldukları veya hedeflenen kişinin BT yardım masasını aramadan önce “Active Directory (AD) aracılığıyla devredilen kimlik doğrulama akışını değiştirebildikleri” söyleniyor. şirket, hesapla ilişkili tüm MFA faktörlerinin sıfırlanmasını talep edebilir.
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
Süper Yönetici hesaplarına erişim daha sonra diğer hesaplara daha yüksek ayrıcalıklar atamak, mevcut yönetici hesaplarındaki kayıtlı kimlik doğrulayıcıları sıfırlamak ve hatta bazı durumlarda kimlik doğrulama politikalarından ikinci faktör gereksinimlerini kaldırmak için kullanılır.
Okta, “Tehdit aktörünün, ele geçirilen kuruluş içindeki uygulamalara diğer kullanıcılar adına erişmek için ‘kimliğe bürünme uygulaması’ görevi görecek ikinci bir kimlik sağlayıcısını yapılandırdığı gözlemlendi.” dedi. “Saldırgan tarafından da kontrol edilen bu ikinci kimlik sağlayıcı, hedefle gelen bir federasyon ilişkisinde (bazen ‘Org2Org’ olarak da adlandırılır) bir ‘kaynak’ IdP görevi görecek.”
“Tehdit aktörü, bu ‘kaynak’ IdP’den, güvenliği ihlal edilmiş ‘hedef’ Kimlik Sağlayıcıdaki gerçek bir kullanıcıyla eşleştirmek için ikinci ‘kaynak’ Kimlik Sağlayıcıdaki hedeflenen kullanıcılara yönelik kullanıcı adı parametresini manipüle etti. Bu, Tek Oturum Açma olanağı sağladı ( SSO) hedeflenen kullanıcı olarak hedef IdP’deki uygulamalara aktarılıyor.”
Şirket, karşı önlem olarak müşterilerin kimlik avına karşı korumalı kimlik doğrulamasını zorunlu kılmasını, yardım masası kimlik doğrulama süreçlerini güçlendirmesini, yeni cihaz ve şüpheli etkinlik son kullanıcı bildirimlerini etkinleştirmesini ve Süper Yönetici rollerinin kullanımını gözden geçirip sınırlamasını öneriyor.