这些攻击的核心是一个名为 0ktapus 的商业网络钓鱼工具包,它提供预制模板来创建更为逼真的虚假身份验证门户,并最终获取凭证和多因素身份验证(MFA)代码。它还通过Telegram整合了一个内置的命令与控制 (C2) 通道。
Palo Alto Networks 的第42部门曾在 2023 年 6 月告诉《The Hacker News》,有多个威胁行为体正在 "将其添加到自己的武器库中",而且 "仅使用 0ktapus 钓鱼工具包并不一定能将威胁行为体归类为 "Muddled Libra"。
该公司还表示,它无法找到足够的关于目标定位、持续性或目的的数据,以确认该行为体与谷歌旗下的 Mandiant 追踪的一个未分类组织 UNC3944 之间的联系。据悉,该组织也采用类似的手法。
Trellix 研究员 Phelix Oluoch 在上个月发布的一份分析报告中指出:Scattered Spider 主要针对电信和业务流程外包(BPO)组织。然而,最近的活动表明这个组织已经开始瞄准其他行业,包括关键基础设施组织。
在最新的一组攻击中,威胁分子已经掌握了属于特权用户账户的密码,或者 "能够通过活动目录(AD)操纵委托身份验证流",然后再致电目标公司的 IT 服务台,要求重置与账户相关的所有 MFA 因子。
超级管理员账户的访问权限随后被用来为其他账户分配更高的权限,重置现有管理员账户中的注册验证器,甚至在某些情况下从验证策略中移除第二要素要求。
Okta表示:据观察,威胁行为者已经配置了第二个身份提供程序,以作为'冒充的应用程序',代表其他用户访问被入侵组织内的应用程序。"这第二个身份提供商也由攻击者控制,将在与目标的入站联盟关系(有时称为'Org2Org')中充当'源'IdP"。
通过这个'源'IdP,威胁者操纵了第二个'源'身份提供商中目标用户的用户名参数,使其与被攻击的'目标'身份提供商中的真实用户相匹配。这就提供了以目标用户身份单点登录(SSO)目标身份提供商应用程序的能力。
该公司建议客户执行防网络钓鱼身份验证,加强服务台身份验证流程,启用新设备和可疑活动通知,并审查和限制超级管理员角色的使用,从而更好的应对此类攻击。