Twilio/Okta ハッキングの全容:背後にいる脅威アクターの追跡も始まる

Twilio hackers hit over 130 orgs in massive Okta phishing attack

2022/08/25 BleepingComputer — 最近に発生した、Twilio/MailChimp/Klaviyo などへの、一連のサイバー攻撃を実行したハッカーは、同じフィッシング・キャンペーンにより 130以上の組織に侵入した。このフィッシング・キャンペーンでは、コードネーム 0ktapus と呼ばれるフィッシング・キットが使用され、合計で 9,931件のログイン情報が盗み出され、それを基に VPN などのリモートアクセス介して、企業のネットワークやシステムへのアクセスが行われた。

Group-IB のレポートによると、0ktapus キャンペーンは 2022年3月ころから行われており、Okta の ID 認証情報と 2FA コードを盗み出し、後続のサプライチェーン攻撃を行うことが目的だったとされる。これらの攻撃は大成功し、Twilio/MailChimp/Klaviyo からデータ漏洩が報告されたが、Cloudflare に対する攻撃は阻止された。


さらに、これらの情報漏えいは、Signal や DigitalOcean などの、Okta サービスを利 用している顧客へのサプライチェーン攻撃にもつながっている。このキャンペーンで作成されたフィッシング・ドメインを用いる脅威アクターは、テクノロジー/暗号通貨/金融/人材紹介などの、複数の業界の企業をターゲットにしていた。

標的となった企業には、T-Mobile/MetroPCS/Verizon Wireless/AT&T/Slack/Twitter/Binance/KuCoin/CoinBase/Microsoft/Epic Games/Riot Games/Evernote/AT&T/HubSpot/TTEC/Best Buy などがある。

0ktapus attack flow 
0ktapus attack flow (Group-IB)

0ktapus から伸びる複数の触手

この攻撃は、SMS メッセージと Okta のログインページを装うフィッシング・ページへのリンクから始まり、被害者はアカウントの認証情報と 2FA コードを入力するよう促された。

MS phishing message sent to Cloudflare employees
MS phishing message sent to Cloudflare employees

Okta は、IDaaS (identity-as-a-service) プラットフォームであり、従業員は1回のログインで、社内の全ソフトウェア資産にアクセスできる。

研究者たちは、0ktapus キャンペーンをサポートするために、OKTA/HELP/VPN/SSO などのキーワードを使用する、以下のような 169 のユニークなフィッシング・ドメインを発見した。

t-mobile-okta[.]org
att-citrix[.]com
vzwcorp[.]co
mailchimp-help[.]com
slack-mailchimp[.]com(スラック・メールチンプ
kucoin-sso[.]com

これらのサイトは、ターゲットとなる企業の特定テーマを装い、従業員が日々のログイン手続きで見慣れている、本物のポータルと全く同じように表示される。

Okta phishing page used in the campaign
Okta phishing page used in the campaign (Group-IB)

被害者が認証情報と 2FA コードを入力すると、脅威アクターが管理するプライベートな Telegram チャネルに、それらの情報は送信される。

脅威アクターたちは、受信したログイン認証情報を使って、企業の VPN/Network/Internal Customer Support System にアクセスし、顧客データを盗み出した。それらの顧客データは、DigitalOcean や Signal で見られたように、さらなるサプライチェーン攻撃のために使用される。

過去に公開された被害者の情報によると、この脅威アクターは、暗号通貨企業のデータを狙うことが多かった。Group-IB によると、この脅威アクターは 136社から、9,931件のユーザー認証情報/3,129件のメール、5,441件の MFA コードを盗むことに成功した。なお、被害を受けた組織の大半は米国に存在している。

Map of victimized organizations
Map of victimized organizations (Group-IB)

このうち、約半数がソフトウェアおよび、通信セクターに属しており、ビジネスサービス/金融/教育/小売も、大きな割合を占めている。

ユーザー “X” のマスキングを解除

Group-IB の調査員は、このフィッシング・キットに隠れている僅か情報を活用し、アカウント・データの流出に使用された、Telegramチ ャンネルの管理者アカウントを見つけ出した。

Account of the Telegram channel admin
Account of the Telegram channel admin (Group-IB)

このユーザーの活動を遡ると、2019年に “X” という名前のユーザーが、自身の Twitter アカウントを指すものを、投稿していることが判明した。

そこからアナリストたちは、その当時に Subject X というニックネームを使用していた、ハッカーにリンクされる GitHub のアカウントを見つけた。Group-IB によると、このアカウントには、米国ノースカロライナ州の位置情報に関連付けられていたとのことだ。

Group-IB は、脅威アクターとされる人物の正体について、より多くの情報を持っていると主張しているが、これ以上の詳細は法執行機関に譲るとしている。

このフィッシング・キャンペーンには、Okta にちなんで で0ktapus というコードネームがつけられたようです。合計で 9,931件のログイン情報が盗み出されれるという、たいへんな被害が発生しました。Telegram に残された足跡から、Subject X という人物が絞り込まれたようで、これから追跡が始まるのでしょう。よろければ、Twilio で検索も、ご利用ください。

%d bloggers like this: