شركة Okta تحذر من هجمات الهندسة الاجتماعية التي تستهدف امتيازات المسؤول الخارق. حذر مزود خدمات الهوية Okta يوم الجمعة من هجمات الهندسة الاجتماعية التي نظمها جهات فاعلة تهديدية للحصول على أذونات مشرف مرتفعة.
“في الأسابيع الأخيرة. أبلغ العديد من عملاء Okta الأمريكيين عن نمط ثابت من هجمات الهندسة الاجتماعية ضد موظفي مكتب الخدمة الميدانية لتكنولوجيا المعلومات. حيثما. كانت استراتيجية المتصل هي إقناع موظفي مكتب الخدمة الميدانية بإعادة تعيين جميع عوامل المصادقة متعددة العوامل (MFA) التي تم تسجيلها من قبل المستخدمين ذوي الامتيازات العالية”. قالت الشركة.
ثم انتقل الخصم إلى إساءة استخدام حسابات مسؤول Okta Super Administrator ذات الامتيازات العالية لمحاكاة المستخدمين داخل المنظمة المصابة. هكذا وفقًا للشركة. حدثت الحملة بين 29 يوليو و 19 أغسطس 2023.
لم تكشف Okta عن هوية فاعل التهديد. لكن التكتيكات ت exhibits جميع خصائص مجموعة الأنشطة المعروفة باسم Muddled Libra. والتي يقال إنها تشترك في درجة معينة من التداخل مع Scattered Spider و Scatter Swine.
محور الهجمات هو مجموعة أدوات phishing تجارية تسمى 0ktapus. والتي تقدم قوالب مسبقة الصنع لإنشاء بوابات مصادقة وهمية واقعية في نهاية المطاف لحصاد Credentials و رموز المصادقة متعددة العوامل (MFA). كما أنه يتضمن قناة command-and-control (C2) مضمنة عبر Telegram.
قال Palo Alto Networks Unit 42 لـ The Hacker News سابقًا في يونيو 2023 أن العديد من جهات فاعلة التهديد “تضيفها إلى ترسانتهم” وأن “استخدام مجموعة أدوات 0ktapus phishing وحده لا ي classifies بالضرورة فاعل تهديد” على أنه Muddled Libra.
تتحدث عن.
إنها لم تتمكن من العثور على بيانات كافية عن الاستهداف أو الاستمرارية أو الأهداف لتأكيد وجود صلة بين الفاعل والمجموعة غير المصنفة التي تتعقبها Google-owned Mandiant باسم UNC3944. والتي تُعرف أيضًا باستخدام تقنيات مماثلة.
“تم ملاحظة Scattered Spider بشكل أساسي في استهداف organizations الاتصالات و Business Process Outsourcing (BPO).” قال الباحث في Trellix Phelix Oluoch في analysis نُشر الشهر الماضي. “ومع ذلك. تشير الأنشطة الأخيرة إلى أن هذه المجموعة بدأت في استهداف قطاعات أخرى. بما في ذلك organizations البنية التحتية الحيوية.”
بينما في أحدث مجموعة من الهجمات. يُقال إن فاعلي التهديدات already في possession ل passwords التي تنتمي إلى حسابات المستخدمين ذوي الامتيازات أو “يمكنهم التلاعب ب flow تدفق المصادقة المفوضة عبر Active Directory (AD)” قبل الاتصال بمكتب مساعدة IT للشركة المستهدفة لطلب إعادة تعيين جميع عوامل MFA المرتبطة بالحساب.
يُستخدم access الوصول إلى حسابات Super Administrator. لاحقًا ل assigning امتيازات أعلى لحسابات أخرى. وإعادة تعيين authenticators المسجلين في حسابات المسؤول الحالية. وحتى إزالة متطلبات العامل الثاني من سياسات المصادقة في بعض الحالات.
هل تم رصد التهديد.
“تم رصد فاعل التهديد وهو يقوم بتكوين مزود هوية ثانٍ ليعمل كتطبيق “مُضاد” للوصول إلى applications. داخل org المصابة نيابة عن مستخدمين آخرين”. قالت Okta. “سيعمل هذا المزود للهوية الثاني. الذي يتحكم فيه المهاجم أيضًا. كـ ‘مصدر’ IdP في علاقة federated inbound (يُطلق عليها أحيانًا ‘Org2Org’) مع الهدف.”
“من هذا ‘المصدر’ IdP. قام فاعل التهديد بmanipulating معلمة username للمستخدمين المستهدفين في المزود الثاني ‘المصدر’ للهوية ليطابق مستخدمًا حقيقيًا في ‘الهدف’ المُصاب IdP. وفر هذا القدرة على تسجيل الدخول إلى applications في ‘الهدف’ IdP كمستخدم مستهدف باستخدام SSO (Single sign-on).”
في النهاية كإجراءات مضادة. توصي الشركة العملاء بفرض مصادقة مقاومة لل phishing. وتعزيز عمليات التحقق من هوية مكتب الخدمة الميدانية. وتمكين إشعارات المستخدم النهائي للنشاط المشبوه وجهاز جديد. ومراجعة وتقييد استخدام أدوار المسؤول الخارق.
شركة Okta تحذر من هجمات الهندسة الاجتماعية التي تستهدف امتيازات المسؤول الخارق. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.