.
Os clientes do fornecedor de identificação em nuvem Okta estão relatando ataques de engenharia social direcionados às suas centrais de serviços de TI na tentativa de comprometer contas de usuários com permissões de administrador.
“Vários clientes da Okta baseados nos EUA” relataram essas tentativas de phishing, “nas quais a estratégia do chamador era convencer o pessoal da central de atendimento a redefinir todos os fatores de autenticação multifator (MFA) registrados por usuários altamente privilegiados”, de acordo com um relatório. alerta de segurança publicado na quinta-feira.
“Os atacantes então aproveitaram seu compromisso de contas de superadministrador Okta altamente privilegiadas para abusar de recursos legítimos de federação de identidade que lhes permitiam se passar por usuários dentro da organização comprometida”, continuou o alerta.
De acordo com o diretor de segurança da Okta, David Bradbury, a empresa detectou a campanha começando em 29 de julho e continuou até 19 de agosto.
“Não temos visibilidade sobre quais clientes foram visados, mas sabemos que quatro clientes foram afetados no período de três semanas desde que começamos a monitorar essas atividades”, disse ele. Strong The One.
Quando questionado se Okta atribuiu os ataques a um grupo específico, Bradbury disse que “outras empresas de segurança cibernética vincularam esse comportamento a atores de ameaças conhecidos como Scattered Spider”.
Aranha Espalhadatambém rastreado como UNC3944, Scatter Swine e Muddled Libra, existe desde maio de 2022, de acordo com pesquisadores de segurança.
A equipe prefere a troca de SIM, ataques de phishing por e-mail e SMS e, às vezes, eles tentam fazer phishing em outras pessoas dentro de uma organização depois de invadirem bancos de dados de funcionários, Mandiant observado em maio. “Uma vez estabelecida a persistência, foi observado que UNC3944 modificava e roubava dados do ambiente da organização vítima”, disse a empresa de inteligência contra ameaças de propriedade do Google.
Os alvos da gangue são geralmente empresas de telecomunicações e terceirização de processos de negócios (BPO), no entanto, “atividades recentes indicam que este grupo começou a visar outros setores, incluindo organizações de infraestrutura crítica”, disseram os pesquisadores da Trellix em um comunicado. relatório no início deste mês.
Trellix também vinculou Scattered Spider ao agosto de 2022 Campanha de phishing Oktapus durante o qual os criminosos obtiveram acesso não autorizado a 163 clientes Twilioincluindo Okta.
Em sua última campanha, os malfeitores tinham senhas para contas de usuários privilegiados ou eram “capazes de manipular o fluxo de autenticação delegada via Active Directory (AD) antes de ligar para o service desk de TI em uma organização alvo, solicitando uma redefinição de todos os fatores de MFA em a conta alvo”, de acordo com o alerta Okta.
Semelhante aos ataques do ano passado, depois de obter acesso às contas de administrador, o Scattered Spider atribuiu privilégios mais elevados a outras contas e também removeu os requisitos de autenticação de segundo fator vinculados a alguns usuários.
Okta diz que sua equipe de segurança também observou a equipe usando esse acesso para se autenticar como provedor de identidade “fonte”, obtendo assim acesso de logon único aos aplicativos. Veja como os criminosos fizeram isso:
Okta sugere várias medidas que os clientes podem tomar para se protegerem contra esta e outras campanhas de phishing semelhantes, incluindo autenticação resistente a phishinge exigindo nova autenticação a cada login para aplicativos privilegiados.
Também é uma boa ideia revisar e limitar o uso de funções administrativas e exigir que os administradores façam login em dispositivos gerenciados usando autenticação multifator.
Também é recomendado que os administradores ativem notificações de usuário final de novos dispositivos e atividades suspeitas para receber alertas sobre qualquer comportamento de phishing que possa ser originado do Scattered Spider. ®
.
