Lookout araştırmacıları, yeni bir kimlik avı kampanyasının, kullanıcıları ve çalışanları hedeflemek için Federal İletişim Komisyonu (FCC) ve çeşitli kripto para birimi platformları için sahte Okta tek oturum açma (SSO) sayfalarını kullandığını keşfetti.
Kimlik avı kampanyası
Saldırganlar, müşteri desteği gibi davranarak ve e-postayı, kısa mesajları ve telefon görüşmelerini birleştirerek, sağlanan bağlantıya tıklayarak sosyal mühendislik kurbanı olurlar.
Daha sonra kurbanlardan, kimlik avı sitesinin tespit edilmesini önleyen ve güvenilirliğini artıran bir taktik olan hCaptcha'yı kullanarak bir captcha'yı çözmeleri isteniyor ve onlara sahte bir Okta SSO sayfası sunuluyor.
FCC/Okta yükleme sayfası. (Kaynak: Gözetleme)
Lookout araştırmacıları, “Kimlik bilgilerini verdikten sonra kurban beklemeye, oturum açmaya veya MFA tokenını istemeye gönderilebilir” dedi.
“Saldırgan muhtemelen bu kimlik bilgilerini kullanarak gerçek zamanlı olarak oturum açmaya çalışır ve ardından, saldırganın erişmeye çalıştığı MFA hizmeti tarafından hangi ek bilgilerin talep edildiğine bağlı olarak kurbanı uygun sayfaya yönlendirir; örneğin, bir kimlik doğrulayıcı uygulamalarından MFA belirteçlerini isteyen bir sayfa veya SMS tabanlı belirteç isteyen bir sayfa.
Saldırganlar ayrıca kurbanın telefon numarasının son iki hanesini girerek ve 6 veya 7 haneli bir jeton isteyerek kimlik avı sayfasını gerçek zamanlı olarak özelleştirebilir.
Sağlanan tek kullanımlık şifre (OTP) belirteci ile giriş yaptıktan sonra, kurban ya yasal Okta oturum açma sayfasına ya da mağdura hesabının incelenmekte olduğunu bildiren özelleştirilmiş bir sayfaya yönlendiriliyor.
Kimlik avı kiti hakkında
Bu saldırıları mümkün kılan kimlik avı kiti, Lookout araştırmacıları tarafından şüpheli yeni bir alan adının kaydedildiğini fark ettiklerinde keşfedildi. fcc-okta[.]iletişim – meşru FCC Okta SSO sayfasına oldukça benzer.
Kimlik avı kiti aynı zamanda birçok farklı marka ve şirketin kimliğine bürünme özelliğine de sahiptir.
“Kimlik avı sitesinin özelliklerini temel alan Lookout araştırmacıları, bu kimlik avı kitini kullanan diğer web sitelerini tespit edebildiler. Web sitelerinin çoğu şu alt alan adını kullanır: resmi sunucu[.]iletişim onların C2'si olarak. Ayrıca Binance ve Coinbase çalışanlarını hedef alan Okta kimliğine bürünme sayfaları da bulduk, ancak sitelerin çoğunluğunun kripto para birimi ve SSO hizmetleri kullanıcılarını hedef aldığı görülüyor” diye eklediler.
“Gözlemlenen günlüklere göre sitelerin 100'den fazla kurbanı başarıyla ele geçirdiği görülüyor. Araştırmacılar, sitelerin birçoğunun hala aktif olduğunu ve her saat başı daha fazla kimlik avı yapmaya devam ettiğini belirtti.
Tehdit aktörleri başlangıçta kimlik avı web sitelerini birden fazla barındırma ağına yerleştirdi, ancak 2023'ün sonlarında Hostwinds ve Hostinger'ı tercih ettiler. 2024'ün başlarında Rusya'daki RetnNet'e geçtiler ve bu da onları çok daha uzun süre çevrimiçi tutacak gibi görünüyor.
Sahte Okta SSO sayfalarının kullanılması, Scattered Spider hack grubunun favori taktiği ancak araştırmacılar, phishing kitinin farklı yetenekleri ve C2 altyapısının, grubun bu kampanyadan sorumlu olmadığını gösterdiğini söylüyor.
Saldırganlara MFA'yı atlama yeteneği veren kimlik avı kitleri uzun süredir mevcut.
“Bunun tek bir tehdit aktörü mü olduğu yoksa birçok farklı grup tarafından kullanılan ortak bir araç mı olduğu bilinmiyor. Ancak ekibimizin çeşitli kimlik avı sitelerinde bulduğu arka uç C2 sunucularında ve test verilerinde pek çok benzerlik var” dedi.