查看原文
其他

黑客攻陷Okta发动供应链攻击,影响130多家组织机构

Group-IB 代码卫士 2022-11-01

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。


Group-IB 公司发布报告称,受客户委托对本月初的一起钓鱼攻击活动展开调查,结果发现受害者不止Twilio和Cloudflare公司,还有130多家组织机构。黑客首先攻陷身份认证管理提供商 Okta,随后攻击其130多名客户。研究人员将该供应链攻击事件命名为 “0ktapus”。如下是奇安信代码卫士团队对报告的编译梳理。


01精心策划的供应链攻击


Signal 公司报道称其1900名用户账户很可能被黑,收到客户委托调查后发现,客户仅仅是多家遭大规模钓鱼攻击的著名组织机构之一。攻击者的初始目标很清晰:从目标组织机构用户处获得身份验证管理提供商 Okta公司的身份凭据和双因素验证码。之后攻击者即可越权访问受害者可访问的任何企业资源。

这起攻击的特别之处在于,尽管攻击者使用的是无需太高技能的攻击方法,但仍然攻陷了大量著名组织机构。另外,一旦攻击者攻陷得手,则可快速跳转并发动后续的供应链攻击,这说明攻击是提前仔细策划的。


02攻击流程


从客户以及Twilio 和 Cloudflare 公司发布的公开报告可知,这起攻击是精心策划并执行的。攻击者瞄准了Okta的企业用户员工。这些员工收到仿冒Okta认证页面的钓鱼网站链接的手机短信。

对于员工而言,钓鱼网站非常具有说服力,和平时见到的认证页面非常相似。用户被要求提供用户名和密码,接着第二个网页要求输入双因素验证码。输入验证码后,浏览器被迫下载远程管理工具AnyDesk的合法副本。为何会发短信,且将 AnyDesk.exe推向受害者资产?这说明攻击者可能经验并不丰富。而且钓鱼网站是静态的,说明攻击者无法实时和受害者进行交互。要在双因素验证码过期前获得访问权限,必须在获得验证码后使用受陷数据。这意味着攻击者在持续监控工具并使用这些凭据。攻击者随后通过钓鱼包将受害者凭据传到受控制的 Tegegram频道,最后发动供应链攻击。随后研究人员分析出攻击者的网络身份。

研究人员指出,目前不能确定攻击者是否从头到尾都进行了精心策划,还是伴有一些随机行动,但无疑这起攻击活动是成功的。


03受害者情况


研究人员指出,多数目标企业位于美国,其中包括总部在其它国家但位于美国的员工遭攻击的情况。

由于三分之二的受陷数据中并不包含企业邮件而只包含用户名和2FA验证码,因此无法识别所有目标企业,仅能识别受害者的居住地。多数受害者企业提供IT、软件开发和云服务,攻击者试图获取凭据以访问私密数据、企业邮件和内部文档。因金融企业也包含在受害者清单中,因此攻击者也在试图窃取钱财;一些目标企业提供对加密资产和市场的访问权限,一些是开发投资工具。攻击者或者也试图在后期实施勒索攻击。

目前尚不清楚攻击者如何准备目标清单以及如何获取到电话号码,但研究人员认为攻击始于对移动运营商和电信企业的攻击,某些手机号码可能源自这些初始攻击。


04供应链攻击


研究人员指出,在很多情况下攻击者针对的是邮件列表或面向客户的系统,以便发动供应链攻击。如市场营销公司Klaviyo 与密币相关账户关联的个人信息遭泄露包括姓名、地址、邮件和电话号码等,这些信息后续可用于窃取密币。邮件平台 Mailchimp遭攻陷,攻击者获得对加密相关企业数据的访问权限,其客户 DigitalOcean技术公司的客户可能遭攻陷。电话验证提供商Twilio遭攻击,攻击者试图在新的移动设备上重新注册Signal账户。

虽然攻击者的成功可能有赖于运气,但他们更可能仔细构造攻击,目的是发动如上述复杂的供应链攻击。目前尚不清楚这起攻击的潜在影响。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com







推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文

在线阅读版:《2021中国软件供应链安全分析报告》全文

开源web应用中存在三个XSS漏洞,可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps,更安全的应用

他坦白:只是为了研究才劫持流行库的,你信吗?

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟:管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册:SBOM的生成和提供》解读

和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?

NPM逻辑缺陷可用于分发恶意包,触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击

哪些NPM仓库更易遭供应链攻击?研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士




原文链接

https://blog.group-ib.com/0ktapus


题图:Pexels License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存