Okta SSO сметките се цел на вишинг-напади за кражба на податоци

Okta предупредува на прилагодени фишинг алатки изградени специјално за гласовни социјално-инженерски напади (вишинг). BleepingComputer дознава дека овие алатки се користат во активни напади за кражба на Okta SSO ингеренции со цел кражба на податоци.

Во нов извештај објавен денес од Okta, истражувачите објаснуваат дека фишинг алатките се продаваат како дел од модел „како услуга“ (as-a-service) и активно се користат од повеќе хакерски групи за таргетирање на провајдери на идентитети, вклучувајќи ги Google, Microsoft и Okta, како и криптовалутни платформи.

За разлика од типичните статични фишинг страници, овие „adversary-in-the-middle“ платформи се дизајнирани за интеракција во живо преку гласовни повици, што им овозможува на напаѓачите да ја менуваат содржината и да прикажуваат дијалози во реално време додека повикот трае. Клучните функции на овие фишинг алатки вклучуваат манипулација на жртвите во реално време преку скрипти кои му даваат на повикувачот директна контрола врз процесот на автентикација на жртвата.

Додека жртвата ги внесува ингеренциите на фишинг страницата, тие веднаш се препраќаат до напаѓачот, кој потоа се обидува да се најави на услугата додека сè уште е во тек повикот.

Кога услугата ќе одговори со MFA предизвик, како што е push нотификација или OTP, напаѓачот може да избере нов дијалог кој веднаш ја ажурира фишинг страницата за да одговара на она што жртвата го гледа при обидот за најава. Оваа синхронизација прави лажните MFA барања да изгледаат легитимно.

Okta наведува дека овие напади се внимателно испланирани, при што заканувачките актери вршат извидување на целниот вработен, вклучувајќи кои апликации ги користи и кои телефонски броеви се поврзани со ИТ-поддршката на неговата компанија.

Потоа креираат прилагодени фишинг страници и ја повикуваат жртвата користејќи спуфирани корпоративни или helpdesk броеви. Кога жртвата ќе ги внесе корисничкото име и лозинката на фишинг страницата, тие ингеренции се пренесуваат до backend-от на напаѓачот, најчесто до Telegram канали управувани од заканувачките актери.

Ова им овозможува на напаѓачите веднаш да иницираат вистински обиди за автентикација што прикажуваат MFA предизвици. Додека заканувачките актери сè уште се на телефон со целта, можат да ја насочат личноста да ги внесе своите MFA TOTP кодови на фишинг страницата, кои потоа се пресретнуваат и се користат за најава на нивните сметки.

Okta вели дека овие платформи можат да го заобиколат модерниот push-базиран MFA, вклучувајќи и „number matching“, бидејќи напаѓачите им кажуваат на жртвите кој број да го изберат. Во исто време, C2 компонентата на фишинг алатката предизвикува веб-страницата да прикаже соодветен промпт во прелистувачот.

Okta им препорачува на клиентите да користат MFA отпорен на фишинг, како што се Okta FastPass, FIDO2 безбедносни клучеви или passkeys.

Напади користени за кражба на податоци

Ова советување доаѓа откако BleepingComputer дозна дека Okta приватно ги предупредила CISO директорите на своите клиенти претходно оваа недела за тековните напади со социјален инженеринг.

Во понеделник, BleepingComputer ја контактираше Okta откако дозна дека заканувачки актери ги повикуваат вработените во таргетираните компании со цел да ги украдат нивните Okta SSO ингеренции.

Okta е cloud-базиран провајдер на идентитети кој дејствува како централен систем за најава за многу од најшироко користените корпоративни веб-услуги и cloud платформи.

Нејзината услуга за единствена најава (Single Sign-On – SSO) им овозможува на вработените еднаш да се автентицираат со Okta, а потоа да добијат пристап до други платформи што ги користи нивната компанија без повторно да се најавуваат.

Платформи кои се интегрираат со Okta SSO вклучуваат Microsoft 365, Google Workspace, Dropbox, Salesforce, Slack, Zoom, Box, Atlassian Jira и Confluence, Coupa и многу други.

Откако ќе се најават, корисниците на Okta SSO добиваат пристап до контролна табла што ги прикажува сите услуги и платформи на нивната компанија, овозможувајќи им со еден клик да пристапат до нив. На овој начин, Okta SSO функционира како централна порта (gateway) до услугите на компанијата на ниво на целото работење.

Во исто време, ова ја прави платформата исклучително вредна за заканувачките актери, кои сега имаат пристап до широко користените cloud платформи на компанијата за складирање податоци, маркетинг, развој, CRM и аналитика на податоци.

BleepingComputer дозна дека нападите со социјален инженеринг започнуваат со тоа што заканувачките актери ги повикуваат вработените и се претставуваат како ИТ-персонал од нивната компанија. Заканувачките актери нудат да му помогнат на вработениот да постави passkeys за најава во Okta SSO услугата.

Напаѓачите ги измамуваат вработените да посетат специјално изработена adversary-in-the-middle фишинг страница која ги прибира нивните SSO ингеренции и TOTP кодови, при што дел од нападите се пренесуваат во реално време преку Socket.IO сервер кој претходно бил хостиран на inclusivity-team[.]onrender.com.

Фишинг веб-страниците се именувани по компанијата и најчесто го содржат зборот „internal“ или „my“.

На пример, ако Google е таргетиран, фишинг страниците може да се именуваат googleinternal[.]com или mygoogle[.]com.

Откако ќе се украдат ингеренциите на вработениот, напаѓачот се најавува на Okta SSO контролната табла за да види до кои платформи има пристап и потоа продолжува со кражба на податоци од нив.

„Добивме неовластен пристап до вашите ресурси со користење фишинг напад базиран на социјален инженеринг за компромитирање на SSO ингеренциите на вработен,“ стои во безбедносен извештај испратен од заканувачките актери до жртвата и виден од BleepingComputer.

„Контактиравме различни вработени и убедивме еден да ги достави своите SSO ингеренции, вклучувајќи и TOTPs.“

„Потоа ги прегледавме различните апликации на Okta контролната табла на вработениот до кои имаше пристап, барајќи ги оние што работеа со чувствителни информации. Главно изнесувавме податоци од Salesforce поради тоа колку е лесно да се изнесат податоци од Salesforce. Силно ви препорачуваме да се оддалечите од Salesforce и да користите нешто друго.“

Откако ќе бидат откриени, заканувачките актери веднаш испраќаат уценувачки е-пораки до компанијата, барајќи плаќање за да се спречи објавувањето на податоците.

Извори за BleepingComputer велат дека дел од уценувачките барања испратени од заканувачките актери се потпишани од ShinyHunters, добро позната уценувачка група која стои зад многу пробиви на податоци минатата година, вклучувајќи ги и широко распространетите напади за кражба на податоци од Salesforce.

BleepingComputer побара од ShinyHunters да потврдат дали тие стојат зад овие напади, но тие одбија да коментираат.

Во овој момент, на BleepingComputer му е кажано дека заканувачките актери сè уште активно таргетираат компании од Fintech, управување со богатство, финансиски и советодавни сектори.

Okta ја сподели следната изјава со BleepingComputer во врска со нашите прашања за овие напади.

„Зачувувањето на безбедноста на клиентите е наш врвен приоритет. Тимот за одбранбени сајбер-операции на Okta рутински идентификува фишинг инфраструктура конфигурирана да имитира Okta страница за најава и проактивно ги известува добавувачите за своите наоди,“ стои во изјавата испратена до BleepingComputer.

„Јасно е колку софистицирани и подмолни станаа фишинг кампањите и од клучно значење е компаниите да ги преземат сите неопходни мерки за да ги заштитат своите системи и да продолжат да ги едуцираат своите вработени за внимателни безбедносни најдобри практики.“

„На нашите клиенти им обезбедуваме најдобри практики и практични насоки за да им помогнеме да ги идентификуваат и спречат нападите со социјален инженеринг, вклучувајќи ги и препораките детално опишани во овој безбедносен блог https://www.okta.com/blog/threat-intelligence/help-desks-targeted-in-social-engineering-targeting-hr-applications/ и блогот што го објавивме денес https://www.okta.com/blog/threat-intelligence/phishing-kits-adapt-to-the-script-of-callers/.

Извори:

• Bleeping Computer – Okta SSO accounts targeted in vishing-based data theft attacks Bleeping Computer