安全和隐私研究人员透露,黑客已经从130个组织的员工那里窃取了约10,000个登录证书。
复杂的攻击使用了简单的网络钓鱼套件,使员工的凭据暴露了。
黑客目标130个组织
8月25日星期四,边缘报道说,包括Twilio,MailChimp和Klaviyo在内的几个网络攻击负责的黑客在同一网络钓鱼活动中妥协了130个组织。
绰号为0Ktapus的黑客使用了网络钓鱼套件可窃取近10,000个登录证书。然后,黑客使用被盗的数据通过VPN和其他远程访问设备访问公司网络和系统。
根据IB报告,自2022年3月以来,0KTAPUS运动一直在进行,旨在窃取身份证书和2FA代码,并使用它们对其目标进行供应链攻击。
攻击成功,导致了Klaviyo,Twilio和MailChimp的一系列报告泄露。
此外,漏洞还导致使用这些服务(例如Digitalocean和Signal)对客户进行供应链攻击。
基于网络钓鱼活动中创建的网络钓鱼领域该黑客针对多个行业的公司,包括技术,金融,加密货币和招聘。
目标公司包括MetroPC,T-Mobile,Verizon Wireless,Slack,AT&T,Twitter,Binance,Coinbase,Kucoin,Microsoft,Microsoft,Riot Games,Epic Games,Epic Games,Evernote,Evernote,HubSpot,AT&T,Best Buy和TTEC。
另请阅读:LinkedIn求职?自2月1日以来,请当心网络钓鱼骗局升至232%|如何避免
攻击是如何开始的
根据Gizmodo,攻击始于SMS消息和指向网络钓鱼页面的链接,该页面模仿OKTA登录页面,要求受害者输入其凭据和2FA代码。
Okta是一个身份服务或IDAAS平台,使用户只能使用一个登录名来访问其各自公司中的所有软件资产。
安全研究人员使用关键字“ OKTA”,“ VPN”,“ HELP”和“ SSO”,共发现了169个独特的网络钓鱼域,支持0KTAPUS广告系列。
这些站点具有目标公司的特定主题,因此它们看起来像是真正的门户网站,员工习惯于在日常登录过程中看到。
当员工输入其凭据和2FA代码时,网站将其转发到私人电报频道,黑客可以在这里检索它们。
黑客使用登录凭据访问公司VPN,网络和支持系统以窃取数据。然后,黑客将使用被盗的数据执行供应链攻击。
基于过去受害者的披露,黑客针对加密货币行业的公司的数据。
IB Group-IB表示,该黑客设法从总共130家公司中窃取了约10,000个用户凭据,带有电子邮件的3,129个记录以及带有MFA代码的5,441个记录,其中大多数位于美国的折衷公司。
在所有黑客组织中,一半属于电信和软件领域,而金融,教育,商业服务和零售也有很大的股份。
黑客的身份
Group-IB的研究人员发现了用于帐户数据泄露的电报渠道的管理员帐户。
威胁情报公司跟踪了用户的活动,并发现在2018年,名为“ X”的用户发布了指向其个人Twitter帐户的内容。
从那里,分析师发现了一个链接到黑客的GitHub帐户,该帐户使用了“主题X”的名称。 IB Group-IB表示,链接到Twitter帐户的GitHub帐户在美国北卡罗来纳州有一个位置。
IB声称有更多有关黑客身份的信息,但会将其转发给执法部门。
相关文章:新的Gmail网络钓鱼骗局巡回赛:不要为此附件而倒下
本文由技术时报拥有
由索菲·韦伯斯特(Sophie Webster)撰写
