Twilio, qui est devenu plus tôt ce mois-ci une attaque de phishing sophistiquée, a révélé la semaine dernière que les acteurs de la menace avaient également réussi à accéder aux comptes de 93 utilisateurs individuels de son service d’authentification à deux facteurs (2FA) Authy.
La société d’outils de communication a dit l’accès non autorisé a permis à l’adversaire d’enregistrer des appareils supplémentaires sur ces comptes. Il a depuis identifié et supprimé les appareils ajoutés de manière illégitime des comptes concernés.
Authy, acquis par Twilio en février 2015, permet sécurisation des comptes en ligne avec une deuxième couche de sécurité pour empêcher les attaques de prise de contrôle de compte. On estime qu’il compte près de 75 millions d’utilisateurs.
Twilio a en outre noté que son enquête au 24 août 2022 avait révélé 163 clients concernés, contre 125 signalés le 10 août, dont les comptes auraient été piratés pendant une période limitée.
Outre Twilio, la campagne tentaculaire, surnommée 0ktapus par Group-IB, aurait frappé 136 entreprises, dont Klaviyo, MailChimp, et une attaque infructueuse contre Cloudflare qui a été contrecarrée par l’utilisation par l’entreprise de jetons de sécurité matériels.
Les entreprises ciblées couvrent les secteurs de la technologie, des télécommunications et de la crypto-monnaie, la campagne utilisant un kit de phishing pour capturer les noms d’utilisateur, les mots de passe et les mots de passe à usage unique (OTP) via des pages de destination malveillantes qui imitaient les pages d’authentification Okta des organisations respectives.
Les données ont ensuite été secrètement acheminées vers un compte Telegram contrôlé par les cybercriminels en temps réel, ce qui a permis à l’acteur de la menace de pivoter et de cibler d’autres services dans ce qu’on appelle une attaque de la chaîne d’approvisionnement visant Signal et Okta, élargissant efficacement la portée et l’échelle. des intrusions.
Au total, l’expédition de phishing aurait rapporté à l’acteur de la menace au moins 9 931 identifiants d’utilisateur et 5 441 codes d’authentification multifactoriels.
Okta, pour sa part, confirmé le vol d’informations d’identification a eu un effet d’entraînement, entraînant l’accès non autorisé à un petit nombre de numéros de téléphone mobile et aux messages SMS associés contenant des OTP via la console d’administration de Twilio.
Déclarant que les OTP ont une période de validité de cinq minutes, Okta a déclaré que l’incident impliquait que l’attaquant recherchait directement 38 numéros de téléphone uniques sur la console – presque tous appartenant à une seule entité – dans le but d’étendre leur accès.
“L’acteur de la menace a utilisé des identifiants (noms d’utilisateur et mots de passe) précédemment volés dans des campagnes de phishing pour déclencher des défis MFA par SMS, et a utilisé l’accès aux systèmes Twilio pour rechercher des mots de passe à usage unique envoyés dans ces défis”, a théorisé Okta.
Okta, qui suit le groupe de piratage sous le nom de Scatter Swine, a en outre révélé que son analyse des journaux d’incidents “a révélé un événement au cours duquel l’acteur de la menace a testé avec succès cette technique contre un seul compte sans rapport avec la cible principale”.
Comme dans le cas de Cloudflare, le fournisseur de gestion des identités et des accès (IAM) a réitéré qu’il était au courant de plusieurs cas où l’attaquant a envoyé une explosion de messages SMS ciblant les employés et les membres de leur famille.
“L’acteur de la menace récolte probablement des numéros de téléphone mobile à partir de services d’agrégation de données disponibles dans le commerce qui relient les numéros de téléphone aux employés d’organisations spécifiques”, a souligné Okta.
Une autre chaîne d’approvisionnement victime de la campagne est le service de livraison de nourriture DoorDash, qui a dit il a détecté “une activité inhabituelle et suspecte du réseau informatique d’un fournisseur tiers”, incitant l’entreprise à désactiver l’accès du fournisseur à son système pour contenir la violation.
Selon la société, l’effraction a permis à l’attaquant d’accéder aux noms, adresses e-mail, adresses de livraison et numéros de téléphone associés à un “petit pourcentage d’individus”. Dans certains cas, les informations de base sur les commandes et les informations partielles sur les cartes de paiement ont également été consultées.
DoorDash, qui a directement informé les utilisateurs concernés, a noté que la partie non autorisée avait également obtenu les noms et numéros de téléphone ou adresses e-mail des chauffeurs-livreurs (alias Dashers), mais a souligné que les mots de passe, les numéros de compte bancaire et les numéros de sécurité sociale n’étaient pas accessibles.
La société basée à San Francisco n’a pas divulgué de détails supplémentaires sur l’identité du fournisseur tiers, mais elle a déclaré à TechCrunch que le la violation est liée à la campagne de phishing 0ktapus.