Siber suç grubu ShinyHunters, daha önce Okta’daki güvenlik araştırmacıları tarafından açıklanan sesli kimlik avı kampanyasıyla ilgili en az beş saldırının sorumluluğunu üstleniyor.
Okta Perşembe günü uyardı: özel kimlik avı kitleri kullanan bir sosyal mühendislik kampanyası sesli kimlik avı tekniklerini kullanarak Google, Microsoft ve Okta ortamlarını hedef alıyordu.
Kimlik avı kitleri kullanıcı kimlik bilgilerini ele geçirebiliyor ve hedeflenen kullanıcıları çok faktörlü kimlik doğrulamayı atlamaya ikna edebiliyordu.
Güvenlik araştırmacısı Alon Gal, Siber Güvenlik Dalışı ile şunları doğruladı: Geçen hafta ShinyHunters onunla temasa geçerek en az üç şirkete şantaj yaptıklarını iddia etti. sesli kimlik avı kampanyasıyla bağlantılı olarak. İddia üç spesifik şirketi içeriyordu ancak Cybersecurity Dive hâlâ bu iddiaları şirketlerle doğrulamak için çalışıyor.
İlk temas, Bleeping Computer’da Okta açıklamalarıyla ilgili yayınlanan bir hikayenin ardından kuruldu. O rapor dedi ki Okta tek oturum açma hesapları hedef alındı saldırılarda.
Pazartesi günü Gal, iddianın artık beş şirketi kapsadığını söyledi.
Sophos’tan araştırmacılar, Cybersecurity Dive’a Aralık ayında oluşturulan ve veri hırsızlığı ve gasp taleplerine yol açan sesli kimlik avı kampanyalarında kullanılan yaklaşık 150 alan adından oluşan bir kümeyi izlediklerini söyledi.
Sophos’un Karşı Tehdit Birimi tehdit istihbaratı direktörü Rafe Pilling, Cybersecurity Dive’a şunları söyledi: “Hepsinin kullanıldığını doğrulayamıyoruz ancak tehdit aktörleri, tek oturum açma hizmetlerini yansıtacak şekilde temalı ve Okta gibi kimlik doğrulama sağlayıcılarını taklit eden hedefe özel alanlar yaratıyor.”
Google Tehdit İstihbarat Grubu’ndaki araştırmacılar tehdit etkinliğini izlediklerini doğruladı. Detayları paylaşamadılar. Araştırmacılardan birinin gönderisinde başlangıçta etkinliğe atıfta bulunuldu ancak daha sonra silindi.
Bir Google sözcüsü, ne Google’ın ne de herhangi bir ürününün sosyal mühendislik kampanyasından etkilenmediğini söyledi.
Okta’nın bir temsilcisi, şirketin Google araştırmacıları tarafından yapılan herhangi bir soruşturmaya ilişkin herhangi bir spesifik bilgiye sahip olmadığını söyledi. Temsilci, eğer Google bu saldırıları araştırıyorsa bunun Okta’nın değil, güvenliği ihlal edilmiş bir kuruluşun talebi üzerine olacağını söyledi.
“Okta Tehdit İstihbaratı, şirketlerin gelişen sosyal mühendislik tekniklerine karşı korunmasına yardımcı olmak için düzenli olarak tehdit araştırmalarını paylaşıyor.” temsilci Siber Güvenlik Dalışına bir açıklamada söyledi. “Okta’nın platformu ve hizmetleri güvende kalırken, Okta, farkındalığı artırmaya ve müşteriler için daha güçlü savunmaları desteklemeye yardımcı olmak için bu gelişen tekniklere dikkat çekiyor.”
Microsoft’un bir sözcüsü, şirketin şu anda paylaşacak hiçbir şeyi olmadığını ancak garanti edilmesi halinde gelecekteki güncellemeleri sağlayacağını söyledi.