Peretas Okta Di Balik Pelanggaran Twilio dan Cloudflare Memukul Lebih dari 130 Organisasi

  • Bagikan
Okta, Twilio and Cloudflare Breach

Beritaini.top Peretas Okta Di Balik Pelanggaran Twilio dan Cloudflare Memukul Lebih dari 130 Organisasi

Pelanggaran Okta, Twilio dan Cloudflare

Pelaku ancaman di balik serangan terhadap Twilio dan Cloudflare awal bulan ini telah dikaitkan dengan kampanye phishing yang lebih luas yang ditujukan pada 136 organisasi yang menghasilkan kompromi kumulatif terhadap 9.931 akun.

Aktivitas tersebut telah dikutuk 0 lantai oleh Group-IB karena tujuan awal serangan adalah untuk “mendapatkan kredensial identitas Okta dan kode otentikasi dua faktor (2FA) dari pengguna organisasi yang ditargetkan.”

Menyebut serangan yang dirancang dan dieksekusi dengan baik, perusahaan yang bermarkas di Singapura itu mengatakan bahwa musuh memilih karyawan perusahaan yang merupakan pelanggan dari penyedia layanan identitas Okta.

Keamanan cyber

Modus operandinya melibatkan pengiriman pesan teks target yang berisi tautan ke situs phishing yang meniru halaman otentikasi Okta dari masing-masing entitas yang ditargetkan.

“Kasus ini menarik karena meskipun menggunakan metode dengan keterampilan rendah, kasus ini dapat membahayakan sejumlah besar organisasi terkenal,” Group-IB dikatakan. “Selanjutnya, begitu penyerang mengkompromikan sebuah organisasi, mereka dengan cepat dapat berputar dan meluncurkan serangan rantai pasokan berikutnya, yang menunjukkan bahwa serangan itu direncanakan dengan hati-hati sebelumnya.”

Setidaknya 169 domain phishing unik dikatakan telah disiapkan untuk tujuan ini, dengan organisasi korban terutama berlokasi di AS (114), India (4), Kanada (3), Prancis (2), Swedia (2), dan Australia (1), antara lain. Situs web ini disatukan oleh fakta bahwa mereka menggunakan kit phishing yang sebelumnya tidak terdokumentasi.

Pelanggaran Okta, Twilio dan Cloudflare

Sebagian besar organisasi yang terkena dampak adalah perusahaan perangkat lunak, diikuti oleh mereka yang tergabung dalam sektor telekomunikasi, layanan bisnis, keuangan, pendidikan, ritel, dan logistik.

Apa yang penting dari serangan tersebut adalah penggunaan saluran Telegram yang dikendalikan aktor untuk menghapus informasi yang dikompromikan, yang mencakup kredensial pengguna, alamat email, dan kode otentikasi multi-faktor (MFA).

Grup-IB dikatakan itu dapat menautkan salah satu administrator saluran, yang menggunakan alias X, ke akun Twitter dan GitHub yang menunjukkan bahwa individu tersebut mungkin berbasis di negara bagian Carolina Utara AS.

Keamanan cyber

Tujuan akhir dari kampanye tersebut masih belum jelas, tetapi diduga sebagai spionase dan bermotivasi finansial, memungkinkan pelaku ancaman untuk mengakses data rahasia, kekayaan intelektual, dan kotak masuk perusahaan, serta menyedot dana.

Selain itu, upaya untuk meretas akun Signal menyiratkan bahwa penyerang juga mencoba untuk mendapatkan percakapan pribadi dan data sensitif lainnya. Masih belum diketahui bagaimana peretas mendapatkan nomor telepon dan nama karyawan.

“Sementara pelaku ancaman mungkin beruntung dalam serangan mereka, kemungkinan besar mereka merencanakan kampanye phishing mereka dengan hati-hati untuk meluncurkan serangan rantai pasokan yang canggih,” kata analis Group-IB Roberto Martinez.

“Belum jelas apakah serangan itu direncanakan secara menyeluruh sebelumnya atau apakah tindakan oportunistik diambil pada setiap tahap. Bagaimanapun, kampanye 0ktapus telah sangat sukses, dan skala penuhnya mungkin tidak diketahui oleh sebagian orang. waktu.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.