Kimlik ve erişim yönetimi (IAM) uzmanı Okta, müşterilerini, bilinmeyen bir tehdit aktörünün Okta kiracılarındaki yüksek ayrıcalıklı rolleri ele geçirmek için sosyal mühendislik kullandığı, gelişmekte olan bir siber saldırı kampanyasına karşı dikkatli olmaları konusunda uyardı.
Tedarikçi, son birkaç hafta içinde ABD merkezli çok sayıda müşterinin, BT hizmet masalarına yönelik tutarlı bir sosyal mühendislik saldırıları modeli bildirdiğini ve bu saldırılarda talihsiz personelin, yüksek ayrıcalıklı kuruluşlar tarafından kaydedilen Okta çok faktörlü kimlik doğrulamasını (MFA) sıfırlamaya ikna edildiğini söyledi. Okta Süper Yönetici hesapları adı verilen ve diğer şeylerin yanı sıra yeni yöneticiler oluşturabilen ve ayrıcalıkları düzenleyebilen ve iptal edebilen kullanıcılar.
Kampanya resmi olarak ilişkilendirilmedi ancak tehdit aktörü oldukça organize görünüyor; çünkü ya hizmet masasını aramadan önce ana yönetici hesaplarının şifreleri zaten vardı ya da AD aracılığıyla devredilen kimlik doğrulama akışlarını yönetebiliyorlardı. İzlerini gizlemek için anonimleştirilmiş proxy hizmetleri, IP adresleri ve hedef hesaplarla ilişkisi olmayan cihazlar kullandılar.
Hedeflenen Süper Yönetici hesapları, saldırganların eline geçtikten sonra, diğer hesaplara daha yüksek ayrıcalıklar atamak ve mevcut yönetici hesaplarındaki kimlik doğrulayıcıları sıfırlamak için büyük kuruluşlarda veya birleşme ve satın alma senaryoları sırasında hızlı provizyon sağlamak üzere tasarlanmış meşru kimlik birleştirme özelliklerinden yararlanmak için kötüye kullanıldı. Okta, birkaç durumda tehdit aktörünün MFA gerekliliklerini kimlik doğrulama politikalarından kaldırdığını gözlemlediğini söyledi.
Ayrıca, Süper Yönetici hakları yoluyla da verilen bir yetenek olan, güvenliği ihlal edilmiş kimlik sağlayıcı hesapları oluşturarak diğer uygulamaları da hedef aldılar.
Okta, tavsiyesinde “Bu son saldırılar, yüksek ayrıcalıklı hesaplara erişimi korumanın neden bu kadar önemli olduğunu gösteriyor” dedi.
“Bu izinsiz girişe ilişkin analizimize dayanarak, Okta müşterilerinin kayıt, kimlik doğrulama ve kurtarma için sektör lideri, kimlik avına karşı dayanıklı yöntemlerimizi uygulamasını öneriyoruz; Yüksek ayrıcalıklı hesapların kullanımını kısıtlayın ve yönetici kullanıcılar için özel erişim politikaları uygulayın ve ayrıcalıklı kullanıcılar için ayrılan işlevlerin anormal kullanımını izleyin ve araştırın.
Uzlaşma göstergelerinin yanı sıra daha ayrıntılı bir dizi tavsiyeyi Okta’nın buradan okuyabileceğiniz tavsiye belgesinde bulabilirsiniz.
Okta gibi IAM hizmetlerinde uzmanlaşmış kuruluşlar, müşteri kimlik bilgilerinin son derece hassas yapısı nedeniyle siber suçlular için büyük bir hedef oluşturuyor ve bu bilgiler ele geçirildiğinde binlerce alt şirkete sınırsız erişim sağlıyor.
Bu nedenle tedarikçi, müşterilerinin bu şekilde hedef alındığını ilk kez görmüyor.
2022 yazında, Scatter Swine veya 0ktapus adlı bir kampanya, Okta kimlik bilgilerini elde ettikleri basit ama son derece etkili bir saldırıyla Cloudflare, Signal ve Twilio teknoloji şirketleri de dahil olmak üzere 100’den fazla Okta müşterisindeki 10.000’den fazla hesabı hedef aldı. Hedeflenen kuruluşlardaki kullanıcılardan gelen MFA kodları, kurbanlarını Okta kiracı kimlik doğrulama sayfasını taklit eden kimlik avı sitelerine erişmeleri için kandırmak amacıyla bunları kullandı.
0ktapus’un saldırılarını analiz eden Singapur merkezli Group-IB, grubun mobil operatörlere ve diğer iletişim hizmetleri sağlayıcılarına yönelik ayrı siber saldırılardan hedef kullanıcılarına ilişkin verileri topladığını ileri sürdü.