Twilio hackers hit over 130 orgs in massive Okta phishing attack
2022/08/25 BleepingComputer — 最近に発生した、Twilio/MailChimp/Klaviyo などへの、一連のサイバー攻撃を実行したハッカーは、同じフィッシング・キャンペーンにより 130以上の組織に侵入した。このフィッシング・キャンペーンでは、コードネーム 0ktapus と呼ばれるフィッシング・キットが使用され、合計で 9,931件のログイン情報が盗み出され、それを基に VPN などのリモートアクセス介して、企業のネットワークやシステムへのアクセスが行われた。
Group-IB のレポートによると、0ktapus キャンペーンは 2022年3月ころから行われており、Okta の ID 認証情報と 2FA コードを盗み出し、後続のサプライチェーン攻撃を行うことが目的だったとされる。これらの攻撃は大成功し、Twilio/MailChimp/Klaviyo からデータ漏洩が報告されたが、Cloudflare に対する攻撃は阻止された。

さらに、これらの情報漏えいは、Signal や DigitalOcean などの、Okta サービスを利 用している顧客へのサプライチェーン攻撃にもつながっている。このキャンペーンで作成されたフィッシング・ドメインを用いる脅威アクターは、テクノロジー/暗号通貨/金融/人材紹介などの、複数の業界の企業をターゲットにしていた。
標的となった企業には、T-Mobile/MetroPCS/Verizon Wireless/AT&T/Slack/Twitter/Binance/KuCoin/CoinBase/Microsoft/Epic Games/Riot Games/Evernote/AT&T/HubSpot/TTEC/Best Buy などがある。
.png)
0ktapus から伸びる複数の触手
この攻撃は、SMS メッセージと Okta のログインページを装うフィッシング・ページへのリンクから始まり、被害者はアカウントの認証情報と 2FA コードを入力するよう促された。

Okta は、IDaaS (identity-as-a-service) プラットフォームであり、従業員は1回のログインで、社内の全ソフトウェア資産にアクセスできる。
研究者たちは、0ktapus キャンペーンをサポートするために、OKTA/HELP/VPN/SSO などのキーワードを使用する、以下のような 169 のユニークなフィッシング・ドメインを発見した。
t-mobile-okta[.]org
att-citrix[.]com
vzwcorp[.]co
mailchimp-help[.]com
slack-mailchimp[.]com(スラック・メールチンプ
kucoin-sso[.]com
これらのサイトは、ターゲットとなる企業の特定テーマを装い、従業員が日々のログイン手続きで見慣れている、本物のポータルと全く同じように表示される。

被害者が認証情報と 2FA コードを入力すると、脅威アクターが管理するプライベートな Telegram チャネルに、それらの情報は送信される。
脅威アクターたちは、受信したログイン認証情報を使って、企業の VPN/Network/Internal Customer Support System にアクセスし、顧客データを盗み出した。それらの顧客データは、DigitalOcean や Signal で見られたように、さらなるサプライチェーン攻撃のために使用される。
過去に公開された被害者の情報によると、この脅威アクターは、暗号通貨企業のデータを狙うことが多かった。Group-IB によると、この脅威アクターは 136社から、9,931件のユーザー認証情報/3,129件のメール、5,441件の MFA コードを盗むことに成功した。なお、被害を受けた組織の大半は米国に存在している。
.jpg)
このうち、約半数がソフトウェアおよび、通信セクターに属しており、ビジネスサービス/金融/教育/小売も、大きな割合を占めている。
ユーザー “X” のマスキングを解除
Group-IB の調査員は、このフィッシング・キットに隠れている僅か情報を活用し、アカウント・データの流出に使用された、Telegramチ ャンネルの管理者アカウントを見つけ出した。

このユーザーの活動を遡ると、2019年に “X” という名前のユーザーが、自身の Twitter アカウントを指すものを、投稿していることが判明した。
そこからアナリストたちは、その当時に Subject X というニックネームを使用していた、ハッカーにリンクされる GitHub のアカウントを見つけた。Group-IB によると、このアカウントには、米国ノースカロライナ州の位置情報に関連付けられていたとのことだ。
Group-IB は、脅威アクターとされる人物の正体について、より多くの情報を持っていると主張しているが、これ以上の詳細は法執行機関に譲るとしている。
このフィッシング・キャンペーンには、Okta にちなんで で0ktapus というコードネームがつけられたようです。合計で 9,931件のログイン情報が盗み出されれるという、たいへんな被害が発生しました。Telegram に残された足跡から、Subject X という人物が絞り込まれたようで、これから追跡が始まるのでしょう。よろければ、Twilio で検索も、ご利用ください。

You must be logged in to post a comment.