El proveedor de servicios de identidad Okta advirtió el viernes sobre ataques de ingeniería social orquestados por actores de amenazas para obtener permisos de administrador elevados.
“En las últimas semanas, varios clientes de Okta con sede en EE. UU. han informado de un patrón constante de ataques de ingeniería social contra el personal de la mesa de servicio de TI, en el que la estrategia de la persona que llamó fue convencer al personal de la mesa de servicio para que restableciera todos los factores de autenticación multifactor (MFA) inscritos por usuarios altamente privilegiados”, la empresa dicho.
Luego, el adversario actuó para abusar de las cuentas privilegiadas de superadministrador de Okta para hacerse pasar por usuarios dentro de la organización comprometida. La campaña, según la empresa, se llevó a cabo entre el 29 de julio y el 19 de agosto de 2023.
Okta no reveló la identidad del actor de la amenaza, pero las tácticas exhiben todas las características de un grupo de actividades conocido como Muddled Libra, que se dice que comparte cierto grado de superposición con Scattered Spider y Scatter Swine.
El elemento central de los ataques es un kit de phishing comercial llamado 0ktapus, que ofrece plantillas prediseñadas para crear portales de autenticación falsos realistas y, en última instancia, recopilar credenciales y códigos de autenticación multifactor (MFA). También incorpora un canal de comando y control (C2) vía Telegram.
La Unidad 42 de Palo Alto Networks le dijo a The Hacker News anteriormente en junio de 2023 que múltiples actores de amenazas lo están “agregando a su arsenal” y que “usar el kit de phishing 0ktapus por sí solo no necesariamente clasifica a un actor de amenazas” como Muddled Libra.
También dijo que no pudo encontrar suficientes datos sobre focalización, persistencia u objetivos para confirmar un vínculo entre el actor y un grupo no categorizado que Mandiant, propiedad de Google, rastrea como UNC3944, que también se sabe que emplea técnicas similares.
“Se ha observado que Scattered Spider se dirige principalmente a organizaciones de telecomunicaciones y de subcontratación de procesos de negocio (BPO)”, afirma Phelix Oluoch, investigador de Trellix. dicho en un análisis publicado el mes pasado. “Sin embargo, la actividad reciente indica que este grupo ha comenzado a apuntar a otros sectores, incluidas las organizaciones de infraestructura crítica”.
En el último conjunto de ataques, se dice que los actores de la amenaza ya poseen contraseñas que pertenecen a cuentas de usuarios privilegiados o “pueden manipular el flujo de autenticación delegado a través de Active Directory (AD)” antes de llamar al servicio de asistencia de TI del objetivo. empresa para solicitar un restablecimiento de todos los factores MFA asociados con la cuenta.
Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa
Descubra cómo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda cómo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso después de una vulneración.
El acceso a las cuentas de superadministrador se utiliza posteriormente para asignar privilegios más altos a otras cuentas, restablecer los autenticadores inscritos en cuentas de administrador existentes e incluso eliminar requisitos de segundo factor de las políticas de autenticación en algunos casos.
“Se observó al actor de amenazas configurando un segundo proveedor de identidad para que actuara como una ‘aplicación de suplantación’ para acceder a aplicaciones dentro de la organización comprometida en nombre de otros usuarios”, dijo Okta. “Este segundo proveedor de identidad, también controlado por el atacante, actuaría como un IdP ‘fuente’ en una relación de federación entrante (a veces llamada ‘Org2Org’) con el objetivo”.
“Desde este IdP ‘fuente’, el actor de amenazas manipuló el parámetro de nombre de usuario para los usuarios objetivo en el segundo proveedor de identidad ‘fuente’ para hacer coincidir un usuario real en el proveedor de identidad ‘objetivo’ comprometido. Esto proporcionó la capacidad de inicio de sesión único ( SSO) en aplicaciones en el IdP de destino como usuario de destino”.
Como contramedidas, la compañía recomienda que los clientes apliquen la autenticación resistente al phishing, fortalezcan los procesos de verificación de identidad de la mesa de ayuda, habiliten notificaciones de nuevos dispositivos y actividades sospechosas al usuario final, y revisen y limiten el uso de roles de superadministrador.