İki hafta önce Twilio ve Cloudflare, her iki şirketin çalışanlarını kandırarak hesap bilgilerini ifşa etmeye zorlayan, sistemli ve iyi planlanmış bir kimlik avı saldırısını detaylandırdı. Twilio örneğinde, saldırı 2FA korumasını geçersiz kıldı ve tehdit aktörlerine iç sistemlerine erişim sağladı. Şimdi araştırmacılar, saldırıların 130 kuruluşa ait yaklaşık 10.000 hesap kimlik bilgilerini netleştiren büyük bir kimlik avı kampanyasının parçası olduğuna dair kanıtları ortaya çıkardılar.
Twilio ve Cloudflare tarafından sağlanan ifşalara dayanarak, kimlik avı saldırılarının neredeyse cerrahi hassasiyet ve planlama ile gerçekleştirildiği zaten açıktı. Her nasılsa, tehdit aktörü çalışanların ve bazı durumlarda aile üyelerinin özel telefon numaralarını elde etmişti. Saldırganlar daha sonra çalışanları, işverenlerinin meşru kimlik doğrulama sayfasına giriş yapmaya teşvik eden kısa mesajlar gönderdi.
40 dakika içinde, 76 Cloudflare çalışanı, yalnızca 40 dakika önce kaydedilen bir alan adını içeren kısa mesajı aldı ve şirketin adını taklit eden siteleri tespit etmek için uyguladığı önlemleri engelledi. Kimlik avcıları ayrıca, gerçek zamanlı olarak kaçırma gerçekleştirmek için bir proxy sitesi kullandılar; bu, Twilio’nun 2FA doğrulamalarında kullandığı tek seferlik şifreleri yakalamalarına ve gerçek siteye girmelerine izin veren bir yöntem. Neredeyse anında, tehdit aktörü, Signal Messenger’ın 1.900 kullanıcısına ait telefon numaralarını elde etmek için Twilio’nun ağına erişimini kullandı.
Eşi görülmemiş ölçek ve erişim
Güvenlik firması Group-IB Perşembe günü yayınladığı bir raporda, bir müşteri adına yaptığı soruşturmanın çok daha büyük bir kampanyayı ortaya çıkardığını söyledi. “0ktapus” olarak adlandırılan, son altı ay içinde 130 kuruluşu hedeflemek ve 9.931 kimlik bilgilerini başarıyla avlamak için aynı teknikleri kullandı. Saldırıların arkasındaki tehdit aktörü, hedeflerini tuzağa düşürmek için en az 169 benzersiz İnternet alanı topladı. Alan adlarında “SSO”, “VPN”, “MFA” ve “HELP” gibi anahtar kelimeler bulunan sitelerin tümü, önceden bilinmeyen aynı kimlik avı kiti kullanılarak oluşturuldu.
Group-IB, “Soruşturma, bu kimlik avı saldırılarının yanı sıra Twilio ve Cloudflare’deki olayların bir zincirin halkaları olduğunu ortaya koydu – en az Mart 2022’den beri etkin olan, ölçeği ve erişimi benzeri görülmemiş basit ama çok etkili tek bir kimlik avı kampanyası.” araştırmacılar yazdı. “Sinyal açıklamalarının gösterdiği gibi, saldırganlar bir organizasyonu ele geçirdikten sonra, hızlı bir şekilde bir sonraki tedarik zinciri saldırılarını başlatabildiler.”
Devam ettirdiler:
Tehdit aktörü saldırılarında şanslı olsa da, oltalama kampanyalarını karmaşık tedarik zinciri saldırıları başlatmak için dikkatli bir şekilde planlamış olmaları çok daha olasıdır. Saldırıların önceden uçtan uca planlanıp planlanmadığı veya her aşamada fırsatçı eylemlerde bulunulup bulunulmadığı henüz netlik kazanmadı. Ne olursa olsun, 0ktapus kampanyası inanılmaz derecede başarılı oldu ve bunun tam ölçeği bir süredir bilinmeyebilir.
Group-IB, en az 114’ünün ABD’de bulunduğunu veya bir varlığı olduğunu söylemek dışında, güvenliği ihlal edilen şirketlerin hiçbirini tanımlamadı. Hedeflerin çoğu BT, yazılım geliştirme ve bulut hizmetleri sağlıyor. Okta Perşembe günü yaptığı bir paylaşımda kurbanlar arasında olduğunu açıkladı.
Kimlik avı kiti, araştırmacıları, tehdit aktörlerinin tek seferlik şifrelere dayanan 2FA korumalarını atlamak için kullandığı bir Telegram kanalına yönlendirdi. Bir hedef, sahte siteye bir kullanıcı adı ve şifre girdiğinde, bu bilgi kanal üzerinden tehdit aktörüne anında iletildi, o da daha sonra onu gerçek siteye girecekti. Sahte site daha sonra hedefe tek seferlik kimlik doğrulama kodunu girmesi talimatını verir. Hedefe uyduğunda, kod saldırgana gönderilecek ve saldırganın kodun süresi dolmadan gerçek siteye girmesine izin verecekti.
Group-IB’nin araştırması, X kolunu kullanan kanal yöneticilerinden birinin ayrıntılarını ortaya çıkardı. Bu izi takiben, araştırmacıların aynı kişiye ait olduğuna inandıkları bir Twitter ve GitHub hesabına yol açtı. Kişinin Kuzey Carolina’da ikamet ettiğini gösteren bir kullanıcı profili görünür.
Bu potansiyel kaymaya rağmen, kampanya şimdiye kadarki en iyi yürütülen kampanyalardan biriydi. Group-IB, altı aydan fazla bir ölçekte gerçekleştirildiği gerçeğinin, onu daha da zorlu kıldığını söyledi.
Perşembe günkü raporda, “Bu tehdit aktörü tarafından kullanılan yöntemler özel değil, ancak planlama ve bir şirketten diğerine nasıl döndüğü, kampanyayı incelemeye değer kılıyor” dedi. “0ktapus, modern kuruluşların bazı temel sosyal mühendislik saldırılarına karşı ne kadar savunmasız olduğunu ve bu tür olayların etkilerinin ortakları ve müşterileri için ne kadar kapsamlı olabileceğini gösteriyor.”