Le fournisseur de services d’identité Okta a mis en garde vendredi contre les attaques d’ingénierie sociale orchestrées par des acteurs malveillants pour obtenir des autorisations d’administrateur élevées.
« Ces dernières semaines, plusieurs clients Okta basés aux États-Unis ont signalé un modèle constant d’attaques d’ingénierie sociale contre le personnel du centre de services informatiques, dans lequel la stratégie de l’appelant consistait à convaincre le personnel du centre de services de réinitialiser tous les facteurs d’authentification multifacteur (MFA) inscrits par utilisateurs hautement privilégiés », la société dit.
L’adversaire a ensuite décidé d’abuser des comptes hautement privilégiés du super-administrateur Okta pour usurper l’identité des utilisateurs au sein de l’organisation compromise. La campagne, selon l’entreprise, s’est déroulée entre le 29 juillet et le 19 août 2023.
Okta n’a pas divulgué l’identité de l’acteur menaçant, mais les tactiques présentent toutes les caractéristiques d’un groupe d’activités connu sous le nom de Muddled Libra, qui partagerait un certain degré de chevauchement avec Scattered Spider et Scatter Swine.
Au cœur des attaques se trouve un kit de phishing commercial appelé 0ktapus, qui propose des modèles prédéfinis pour créer de faux portails d’authentification réalistes et, finalement, récolter des informations d’identification et des codes d’authentification multifacteur (MFA). Il intègre également un canal de commande et de contrôle (C2) intégré via Telegram.
L’unité 42 de Palo Alto Networks a déclaré à The Hacker News plus tôt en juin 2023 que plusieurs acteurs de la menace « l’ajoutent à leur arsenal » et que « l’utilisation du kit de phishing 0ktapus à elle seule ne classe pas nécessairement un acteur de la menace » comme Muddled Libra.
Il a également déclaré qu’il n’avait pas trouvé suffisamment de données sur le ciblage, la persistance ou les objectifs pour confirmer un lien entre l’acteur et un groupe non classé que Mandiant, propriété de Google, suit sous le nom d’UNC3944, qui est également connu pour employer un savoir-faire similaire.
« Scattered Spider a été largement observé ciblant les organisations de télécommunications et d’externalisation des processus métiers (BPO), » Phelix Oluoch, chercheur à Trellix. dit dans une analyse publiée le mois dernier. « Cependant, des activités récentes indiquent que ce groupe a commencé à cibler d’autres secteurs, notamment les organisations d’infrastructures critiques. »
Dans la dernière série d’attaques, les auteurs de la menace seraient déjà en possession de mots de passe appartenant à des comptes d’utilisateurs privilégiés ou « seraient capables de manipuler le flux d’authentification délégué via Active Directory (AD) » avant d’appeler le service d’assistance informatique de la cible. l’entreprise doit demander une réinitialisation de tous les facteurs MFA associés au compte.
Détecter, Répondre, Protéger : ITDR et SSPM pour une sécurité SaaS complète
Découvrez comment Identity Threat Detection & Response (ITDR) identifie et atténue les menaces à l’aide de SSPM. Découvrez comment sécuriser vos applications SaaS d’entreprise et protéger vos données, même après une violation.
L’accès aux comptes de super-administrateur est ensuite utilisé pour attribuer des privilèges plus élevés à d’autres comptes, réinitialiser les authentificateurs inscrits dans les comptes d’administrateur existants et même supprimer les exigences de deuxième facteur des politiques d’authentification dans certains cas.
« L’acteur malveillant a été observé en train de configurer un deuxième fournisseur d’identité pour agir comme une « application d’usurpation d’identité » pour accéder aux applications de l’organisation compromise au nom d’autres utilisateurs », a déclaré Okta. « Ce deuxième fournisseur d’identité, également contrôlé par l’attaquant, agirait comme un IdP ‘source’ dans une relation de fédération entrante (parfois appelée ‘Org2Org’) avec la cible. »
« À partir de cet IdP « source », l’acteur malveillant a manipulé le paramètre de nom d’utilisateur des utilisateurs ciblés dans le deuxième fournisseur d’identité « source » pour correspondre à un utilisateur réel dans le fournisseur d’identité « cible » compromis. Cela a fourni la possibilité d’une authentification unique ( SSO) dans les applications de l’IdP cible en tant qu’utilisateur ciblé.
En guise de contre-mesures, la société recommande aux clients d’appliquer une authentification résistante au phishing, de renforcer les processus de vérification d’identité du service d’assistance, d’activer les notifications d’utilisateurs finaux sur les nouveaux appareils et les activités suspectes, et de revoir et limiter l’utilisation des rôles de super-administrateur.