两周前,Twilio 和 Cloudflare 披露了一场精心策划的网络钓鱼攻击,导致两家公司员工的账户凭据被泄露。其中 Twilio 的两步验证(2FA)系统被攻破,导致攻击者能够访问其内部系统。现在,安全研究人员已找到这轮大规模网络钓鱼攻击的幕后黑手,可知 130 个组织近 10000 个账户凭据受到了被窃取。
由 Twilio 和 Cloudflare 披露的细节可知,这轮网络钓鱼攻击有着相当于外科手术的精确度和执行计划。
首先,攻击者通过不明渠道获得了员工的私人电话号码(某些情况下还套路到了其家人的号码),然后通过发送短信来忽悠员工登录精心伪造的身份验证页面。
40 分钟内,76 名 Cloudflare 员工陆续收到了钓鱼短信 —— 其中包含一个在攻击实施 40 分钟前才注册的域名,以绕过该公司对假冒威胁站点的黑名单防护策略。
紧接着,网络钓鱼攻击者利用了代理站点来实时执行劫持,并截获了 Twilio 双因素(2FA)身份验证用的一次性验证码、并将之套用到了真实站点。
于是几乎在同一时间,攻击者利用其对 Twilio 网络的访问权限、窃取了 Signal Messenger 约 1900 名用户的电话号码。
由 Group-IB 周四发布的安全报告可知,Twilio 被卷入了一场被称作“0Ktapus”的更大规模的网络钓鱼攻击事件。过去六个月时间里,同样的套路导致 130 个组织的 9931 个凭据被泄露。
行业波及范围
分析发现,为了引诱受害者上钩,幕后攻击者利用了至少 169 个独特的互联网域名 —— 常见包含单点登录(SSO)、虚拟专用网、多因素认证(MFA)、帮助(HELP)等关键词。
为了充分利用既有的攻击手段,幕后黑客选择了通过此前未知的、但相同的网络钓鱼工具包来打造钓鱼网站,且规模和范围前所未有 —— 至少从 2022 年 3 月持续至今。
疑似昵称“X”的管理员信息
Group-IB 研究人员补充道,正如 Signal 披露的那样,一旦攻击者成功侵入了一个组织,它们就能够迅速转向、并发起后续的一系列供应链攻击。
虽然没有指出到底有哪些公司受到了影响,仅称其中至少有 114 家位于美国、或在美设有分支机构的企业 —— 其中 IT、软件开发和云服务公司成为了 0ktapus 钓鱼攻击的首要目标。
安全研究人员推测攻击者位于北卡罗来纳州
周四的时候,Okta 也在一篇帖子中透露了其为受害者之一。可知钓鱼攻击者会引诱受害者至 Telegram 频道,以绕过基于一次性验证码的 2FA 验证防护。
当受害者在精心伪造的站点上输入用户名和密码时,机密信息会即刻传递给攻击者、并导致真实站点沦陷。
ArsTechnica 指出 —— 此类事件的不断上演,揭示了现代组织在面对手段并不高明的社会工程攻击时的脆弱性、及其对合作伙伴与客户能够造成的深远影响。
-
天天观察:农业银行:上半年不良贷款率下降至1.41%上半年,农业银行不良贷款率1 41%,较年初下降0 02个百分点。逾期贷款率1 00%,下降8BP。关注贷款率1 46%,下降2BP。
-
讯息:中粮糖业2022年第二季度净利润同比增长60.04%从单季度业绩来看,2022年第二季度,中粮糖业实现营收70 30亿元,同比增长1 17%;实现净利润4 00亿元,同比增长60 04%;...
-
环球看点!农业银行:县域贷款增量、余额占比创十年来新高农业银行县域贷款增量、余额占比均创十年来新高,余额突破6 9万亿元,新增7176亿元。涉农贷款余额5 3万亿元,新增5571亿元...
-
天天快播:农业银行: 农银理财产品上半年创收418亿元农银理财产品净值表现同业领先,已兑付产品无一“破净”,上半年创造收益418亿元;手机银行月活跃客户1 64亿户,新增1177万...
-
聚焦:推进共同行动 助力全球绿色低碳可持续发展在近日举行的第二届“共同行动助力碳中和”高层论坛上,与会的政府主管部门、专家学者和实践者展开对话,广泛凝聚共识、加强...
-
天天观察:农业银行:上半年不良贷款率下降至1.41%
2022-08-29 19:42:30
-
讯息:中粮糖业2022年第二季度净利润同比增长60.04%
2022-08-29 19:34:53
-
环球看点!农业银行:县域贷款增量、余额占比创十年来新高
2022-08-29 19:33:09
-
天天快播:农业银行: 农银理财产品上半年创收418亿元
2022-08-29 19:30:59
-
聚焦:推进共同行动 助力全球绿色低碳可持续发展
2022-08-29 19:29:47