Bu ayın başlarında karmaşık bir kimlik avı saldırısı haline gelen Twilio, geçen hafta tehdit aktörlerinin Authy iki faktörlü kimlik doğrulama (2FA) hizmetinin 93 bireysel kullanıcısının hesaplarına erişmeyi başardığını açıkladı.
İletişim araçları şirketi, yetkisiz erişimin, saldırganın bu hesaplara ek cihazlar kaydetmesini mümkün kıldığını söyledi. O zamandan beri, yasa dışı olarak eklenen cihazları, etkilenen hesaplardan belirledi ve kaldırdı.
Şubat 2015’te Twilio tarafından satın alınan Authy, hesap ele geçirme saldırılarını önlemek için çevrimiçi hesapların ikinci bir güvenlik katmanıyla korunmasına izin veriyor. Yaklaşık 75 milyon kullanıcısı olduğu tahmin ediliyor.
Twilio, 24 Ağustos 2022 itibariyle yaptığı soruşturmanın, 10 Ağustos’ta bildirdiği 125’ten 163 etkilenen müşteriye ulaştığını ve hesaplarının sınırlı bir süre için saldırıya uğradığını söyledi.
Twilio’nun yanı sıra, Group-IB tarafından 0ktapus olarak adlandırılan genişleyen kampanyanın, Klaviyo, MailChimp dahil 136 şirketi ve şirketin donanım güvenlik belirteçlerini kullanmasıyla engellenen Cloudflare’e karşı başarısız bir saldırıyı vurduğuna inanılıyor.
Hedeflenen şirketler, ilgili kuruluşların Okta kimlik doğrulama sayfalarını taklit eden sahte açılış sayfaları aracılığıyla kullanıcı adlarını, şifreleri ve tek seferlik şifreleri (OTP’ler) yakalamak için bir kimlik avı kiti kullanan kampanya ile teknoloji, telekomünikasyon ve kripto para sektörlerini kapsar.
Veriler daha sonra gerçek zamanlı olarak siber suçlular tarafından kontrol edilen bir Telegram hesabına gizlice akıtıldı ve ardından tehdit aktörünün Signal ve Okta’ya yönelik tedarik zinciri saldırısı olarak adlandırılan ve kapsamı ve ölçeği etkin bir şekilde genişleten diğer hizmetleri döndürmesine ve hedef almasına olanak sağladı. izinsiz girişlerden.
Toplamda, kimlik avı seferinin tehdit aktörünü en az 9.931 kullanıcı kimlik bilgisini ve 5.441 çok faktörlü kimlik doğrulama kodunu netleştirdiğine inanılıyor.
Okta, kendi adına, kimlik bilgisi hırsızlığının bir dalgalanma etkisi olduğunu ve Twilio’nun yönetim konsolu aracılığıyla az sayıda cep telefonu numarasına ve OTP’leri içeren ilişkili SMS mesajlarına yetkisiz erişime yol açtığını doğruladı.
OTP’lerin beş dakikalık bir geçerlilik süresine sahip olduğunu belirten Okta, olayın saldırganın erişimini genişletmek amacıyla doğrudan konsolda 38 benzersiz telefon numarasını (neredeyse hepsi tek bir varlığa ait) aramasını içerdiğini söyledi.
Okta, “Tehdit aktörü, daha önce kimlik avı kampanyalarında SMS tabanlı MFA zorluklarını tetiklemek için çalınan kimlik bilgilerini (kullanıcı adları ve şifreler) kullandı ve Twilio sistemlerine erişimi, bu zorluklarda gönderilen tek seferlik şifreleri aramak için kullandı.”
Scatter Swine takma adıyla takip eden Okta, olay günlükleri analizini “tehdit aktörünün bu tekniği birincil hedefle ilgisi olmayan tek bir hesaba karşı başarıyla test ettiği bir olayı ortaya çıkardığını” açıkladı.
Cloudflare örneğinde olduğu gibi, kimlik ve erişim yönetimi (IAM) sağlayıcısı, saldırganın çalışanları ve aile üyelerini hedef alan çok sayıda SMS mesajı gönderdiği birkaç vakanın farkında olduğunu yineledi.
Okta, “Tehdit aktörü, telefon numaralarını belirli kuruluşlardaki çalışanlara bağlayan ticari olarak mevcut veri toplama hizmetlerinden cep telefonu numaralarını büyük olasılıkla toplar” dedi.
Kampanyanın bir diğer tedarik zinciri kurbanı, “üçüncü taraf bir satıcının bilgisayar ağından olağandışı ve şüpheli bir etkinlik” algıladığını söyleyen ve şirketin ihlali kontrol altına almak için satıcının sistemine erişimini devre dışı bırakmasını isteyen gıda dağıtım hizmeti DoorDash’tir.
Şirkete göre, izinsiz giriş, saldırganın “küçük bir yüzdesi” ile ilişkili adlara, e-posta adreslerine, teslimat adreslerine ve telefon numaralarına erişmesine izin verdi. Seçilmiş durumlarda, temel sipariş bilgilerine ve kısmi ödeme kartı bilgilerine de erişildi.
Etkilenen kullanıcıları doğrudan bilgilendiren DoorDash, yetkisiz tarafın teslimat sürücülerinin (aka Dashers) adlarını ve telefon numaralarını veya e-posta adreslerini de aldığını kaydetti, ancak şifrelere, banka hesap numaralarına ve Sosyal Güvenlik numaralarına erişilmediğini vurguladı.
San Francisco merkezli firma, üçüncü taraf satıcının kim olduğu hakkında ek ayrıntılar açıklamadı, ancak TechCrunch’a ihlalin 0ktapus kimlik avı kampanyasıyla bağlantılı olduğunu söyledi.