Group-IB:0ktapus網絡釣魚攻擊導致Twilio等130個組織的上萬憑據被竊取


兩周前,Twilio和Cloudflare披露一場精心策劃的網絡釣魚攻擊,導致兩傢公司員工的賬戶憑據被泄露。其中Twilio的兩步驗證(2FA)系統被攻破,導致攻擊者能夠訪問其內部系統。現在,安全研究人員已找到這輪大規模網絡釣魚攻擊的幕後黑手,可知130個組織近10000個賬戶憑據受到被竊取。

由 Twilio 和 Cloudflare 披露的細節可知,這輪網絡釣魚攻擊有著相當於外科手術的精確度和執行計劃。

首先,攻擊者通過不明渠道獲得員工的私人電話號碼(某些情況下還套路到其傢人的號碼),然後通過發送短信來忽悠員工登錄精心偽造的身份驗證頁面。

受害者遭遇的常規網絡釣魚套路(圖自:Group-IB)

40 分鐘內,76 名 Cloudflare 員工陸續收到釣魚短信 —— 其中包含一個在攻擊實施 40 分鐘前才註冊的域名,以繞過該公司對假冒威脅站點的黑名單防護策略。

緊接著,網絡釣魚攻擊者利用代理站點來實時執行劫持,並截獲 Twilio 雙因素(2FA)身份驗證用的一次性驗證碼、並將之套用到真實站點。

區域波及范圍

於是幾乎在同一時間,攻擊者利用其對 Twilio 網絡的訪問權限、竊取 Signal Messenger 約 1900 名用戶的電話號碼。

由 Group-IB 周四發佈的安全報告可知,Twilio 被卷入一場被稱作“0Ktapus”的更大規模的網絡釣魚攻擊事件。過去六個月時間裡,同樣的套路導致 130 個組織的 9931 個憑據被泄露。

行業波及范圍

分析發現,為引誘受害者上鉤,幕後攻擊者利用至少 169 個獨特的互聯網域名 —— 常見包含單點登錄(SSO)、虛擬專用網、多因素認證(MFA)、幫助(HELP)等關鍵詞。

為充分利用既有的攻擊手段,幕後黑客選擇通過此前未知的、但相同的網絡釣魚工具包來打造釣魚網站,且規模和范圍前所未有 —— 至少從 2022 年 3 月持續至今。

疑似昵稱“X”的管理員信息

Group-IB 研究人員補充道,正如 Signal 披露的那樣,一旦攻擊者成功侵入一個組織,它們就能夠迅速轉向、並發起後續的一系列供應鏈攻擊。

雖然沒有指出到底有哪些公司受到影響,僅稱其中至少有 114 傢位於美國、或在美設有分支機構的企業 —— 其中 IT、軟件開發和雲服務公司成為 0ktapus 釣魚攻擊的首要目標。

安全研究人員推測攻擊者位於北卡羅來納州

周四的時候,Okta 也在一篇帖子中透露其為受害者之一。可知釣魚攻擊者會引誘受害者至 Telegram 頻道,以繞過基於一次性驗證碼的 2FA 驗證防護。

當受害者在精心偽造的站點上輸入用戶名和密碼時,機密信息會即刻傳遞給攻擊者、並導致真實站點淪陷。

ArsTechnica 指出 —— 此類事件的不斷上演,揭示現代組織在面對手段並不高明的社會工程攻擊時的脆弱性、及其對合作夥伴與客戶能夠造成的深遠影響。


相關推薦

2022-08-27

ot;的長達數月的網絡釣魚活動一部分。根據網絡安全機構Group-IB的一份報告,屬於近10000人的登錄憑證被攻擊者盜取,他們模仿流行的單點登錄服務Okta。目標被發送短信,將他們轉到一個釣魚網站。正如Group-IB的報告所說,從受

2022-08-17

MSTIC與微軟的反濫用團隊合作,禁用該行為人用於偵察、網絡釣魚和收集電子郵件的賬戶。微軟防禦系統SmartScreen也對SEABORGIUM活動中的釣魚域名實施檢測。微軟列舉一個例子說明該黑客組織如何冒充某個組織的領導向毫無戒心的

2022-08-16

微軟威脅情報中心(MSTIC)剛剛就“SEABORGIUM”網絡釣魚活動發出警告。盡管其自2017年就已存在,但該公司還是觀察到相當多的案例,因而決定提供全面指導、以免潛在的受害者中招。據悉,SEABORGIUM的危險之處,在於攻擊者利用

2023-10-31

權威政府和犯罪團夥正在爭先恐後地利用人工智能增添其網絡攻擊的能力,這些攻擊可能會打開守護我們最敏感機密和最重要基礎設施的大門--這將增加醫院、學校、城市和企業的危險,因為它們已經經常成為黑客欺詐性電子郵

2022-09-15

在英國女王伊麗莎白二世的哀悼期,毫無下線的網絡犯罪分子也沒有輕易放過這個開展釣魚活動的機會。Proofpoint在ThreatInsight推特賬號上發佈的一系列推文中指出,其留意到假借微軟之名的新一輪網絡釣魚活動,且攻擊者旨在收

2024-02-21

IBM今天發佈的年度X-Force威脅情報指數報告強調,隨著網絡犯罪分子繼續危害全球用戶,正在出現全球性身份危機。根據IBM、RedHat和Intezer每天跟蹤的超過1500億次安全事件的洞察和觀察,該報告發現,網絡犯罪分子正在尋找更多機

2022-08-16

號碼驗證服務。Twilio曾於8月8日表示,在對多名員工展開網絡釣魚攻擊後,黑客訪問125名客戶的數據。盡管 Twilio 沒有公佈受影響客戶的確切名單,但 Signal 還是在周一主動公佈自己是其中之一,且不排除有更多大型組織受害。Sig

2022-08-11

三證實:今年五月,Yanluowang勒索軟件團夥入侵該公司的網絡,並試圖利用線上泄露的被盜文件索取贖金。即便如此,思科還是堅稱攻擊者僅從與受感染員工賬戶相關聯的Box文件夾中,獲取並竊取非敏感數據。思科發言人在接受 B

2022-09-17

作中,MandiantManagedDefense揪出被UNC4034組織所利用的新一輪網絡釣魚活動。(來自:Mandiant Blog)Mandiant 認為 UNC4034 與朝方的幾個組織有重疊,其通過 WhatsApp 即時通訊服務與受害者建立聯系,並引誘其下載惡意 ISO 包。然而 Mandiant In

2024-03-27

根據KrebsOnSecurity的一份報告,利用蘋果公司密碼重置功能中的一個似乎是漏洞的釣魚攻擊變得越來越普遍。多位蘋果用戶成為攻擊目標,這些攻擊會向他們發送無休止的通知或多因素驗證(MFA)信息,試圖讓他們批準更改AppleID

2023-01-24

億美元)受到損失。Nomad 的報告顯示,黑客設法獲得保護網絡的五個驗證節點私鑰,並且有證據表明攻擊者是黑客組織 Lazarus Group。該組織利用先進的魚叉式網絡釣魚攻擊來獲取私鑰,在榨幹資產後,攻擊者通過 Tornado Cash 和中

2022-08-04

網絡安全研究公司Zscaler警告稱——使用微軟電子郵件服務的用戶需提高警惕,因為他們剛剛發現一種新型網絡釣魚活動。調查顯示,攻擊者正使用AiTM中間人技術,來繞過當前的MFA多因素身份驗證,且企業客戶很容易受到這方面

2022-09-05

一位油管主播近期遭受網絡釣魚攻擊,隨後他在Twitter上復述整個過程:有人冒充蘋果想訪問他的iCloud賬號。與許多其他大公司一樣,Apple的服務已成為騙子和詐騙者的目標,他們嘗試多種方式來控制用戶帳戶。在周六晚上發生的

2024-03-21

攻擊者利用易受攻擊的面向互聯網的服務器,使用魚叉式網絡釣魚電子郵件部署定制的網絡間諜活動後門。Earth Krahang 濫用其在被攻破的政府基礎設施上的存在來攻擊其他政府,在被攻破的系統上建立 VPN 服務器,並執行暴力破