Социальная инженерия сделала своё дело — профили суперадминистраторов быстро перешли в руки киберзлодеев.
Американская компания Okta , специализирующаяся на управлении цифровыми удостоверениями личности, Для просмотра ссылки Войдиили Зарегистрируйся 31 августа о серии атак с использованием методов социальной инженерии на своих специалистов.
Злоумышленники обращались в службы техподдержки клиентов Okta, выдавая себя за реальных сотрудников компании. Целью хакеров было отключение многофакторной аутентификации ( MFA ) и получение доступа к высокопривилегированным учётным записям сотрудников.
После получения желаемого доступа хакеры злоупотребляли правами суперадминистраторов Okta для того, чтобы имитировать действия легитимных пользователей и скрыть факт атаки. Сама атака была зафиксирована в период с 29 июля по 19 августа текущего года.
Okta не раскрыла какие-либо подробности о причастных хакерах, однако независимые исследователи полагают, что их методы, предположительно, соответствуют группировке Muddled Libra, о которой Для просмотра ссылки Войдиили Зарегистрируйся в июне этого года.
В основе атак лежит коммерческий фишинговый инструмент 0ktapus, позволяющий создавать реалистичные поддельные страницы аутентификации для сбора учётных данных и кодов многофакторной аутентификации. 0ktapus также имеет встроенный C2 -канал управления средствами Telegram .
В последней серии атак на учётные записи Okta утверждается, что хакеры уже владели необходимыми паролями, принадлежащими привилегированным учётным записям пользователей, или «могли управлять потоком делегированной аутентификации через Active Directory» .
То есть злоумышленники были достаточно подготовлены к звонку в службу технической поддержки Okta, и едва ли можно сказать, что в компрометации учётных записей виноваты сотрудники службы поддержки.
Полученный хакерами доступ к учётным записям суперадминистраторов Okta использовался для предоставления расширенных прав другим учётным записям, сброса настроенных подтверждений подлинности в существующих административных профилях и даже удаления требования второго фактора из общих политик аутентификации.
Чтобы противодействовать подобным атакам, эксперты Okta, испытавшие последствия инцидента на собственной шкуре, рекомендуют следующее:
Американская компания Okta , специализирующаяся на управлении цифровыми удостоверениями личности, Для просмотра ссылки Войди
Злоумышленники обращались в службы техподдержки клиентов Okta, выдавая себя за реальных сотрудников компании. Целью хакеров было отключение многофакторной аутентификации ( MFA ) и получение доступа к высокопривилегированным учётным записям сотрудников.
После получения желаемого доступа хакеры злоупотребляли правами суперадминистраторов Okta для того, чтобы имитировать действия легитимных пользователей и скрыть факт атаки. Сама атака была зафиксирована в период с 29 июля по 19 августа текущего года.
Okta не раскрыла какие-либо подробности о причастных хакерах, однако независимые исследователи полагают, что их методы, предположительно, соответствуют группировке Muddled Libra, о которой Для просмотра ссылки Войди
В основе атак лежит коммерческий фишинговый инструмент 0ktapus, позволяющий создавать реалистичные поддельные страницы аутентификации для сбора учётных данных и кодов многофакторной аутентификации. 0ktapus также имеет встроенный C2 -канал управления средствами Telegram .
В последней серии атак на учётные записи Okta утверждается, что хакеры уже владели необходимыми паролями, принадлежащими привилегированным учётным записям пользователей, или «могли управлять потоком делегированной аутентификации через Active Directory» .
То есть злоумышленники были достаточно подготовлены к звонку в службу технической поддержки Okta, и едва ли можно сказать, что в компрометации учётных записей виноваты сотрудники службы поддержки.
Полученный хакерами доступ к учётным записям суперадминистраторов Okta использовался для предоставления расширенных прав другим учётным записям, сброса настроенных подтверждений подлинности в существующих административных профилях и даже удаления требования второго фактора из общих политик аутентификации.
Чтобы противодействовать подобным атакам, эксперты Okta, испытавшие последствия инцидента на собственной шкуре, рекомендуют следующее:
- внедрять методы аутентификации, устойчивые к фишингу;
- ужесточать проверку личности обратившихся в техподдержку пользователей;
- настроить уведомления о входе с новых устройств и подозрительной активности;
- ограничивать использование учётных записей суперадминистраторов.
- Источник новости
- www.securitylab.ru