🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Okta, nhóm tin tặc đứng sau vụ vi phạm Twilio và Cloudflare, đã tấn công hơn 130 tổ chức

31/08/2022

Tác nhân đe dọa đằng sau các cuộc tấn công vào Twilio và Cloudflare đầu tháng này có liên quan đến 0ktapus, một chiến dịch lừa đảo quy mô lớn nhằm vào 136 tổ chức khiến 9.931 tài khoản người dùng bị xâm phạm.

Mục tiêu ban đầu của các cuộc tấn công được xác định là "lấy thông tin xác thực Okta và mã xác thực hai yếu tố (2FA) từ người dùng của các tổ chức bị nhắm mục tiêu".

Group-IB cho biết kẻ tấn công nhắm đến nhân viên của các công ty là khách hàng của nhà cung cấp dịch vụ xác thực Okta.

Phương thức tấn công liên quan đến việc gửi tin nhắn có chứa các liên kết đến trang web lừa đảo mạo danh trang xác thực Okta của các đối tượng bị nhắm mục tiêu tương ứng.

Group-IB cho biết "chiến dịch này có thể gây tổn hại danh tiếng của một số lượng lớn các tổ chức nổi tiếng". "Hơn nữa, một khi kẻ tấn công xâm nhập thành công một tổ chức, chúng có thể nhanh chóng chuyển hướng tấn công cũng như thực hiện các chuỗi tấn công tiếp theo, điều này cho thấy cuộc tấn công đã được lên kế hoạch cẩn thận từ trước".

Ít nhất 169 trang web lừa đảo khác nhau được cho là đã được sử dụng trong chiến dịch này, với các tổ chức nạn nhân chủ yếu ở Mỹ, Ấn Độ, Canada, Pháp, Thụy Điển và Úc.

Phần lớn các tổ chức bị ảnh hưởng là các công ty phần mềm, tiếp theo là các tổ chức thuộc các lĩnh vực viễn thông, dịch vụ kinh doanh, tài chính, giáo dục, bán lẻ và hậu cần. Một số nạn nhân khác đã được xác nhận ngoài Twilio và Cloudflare là Klaviyo và MailChimp.

Một phân tích về các trang web lừa đảo 0ktapus cho thấy AT&T, KuCoin, Mailgun, Metro PCS, Slack, T-Mobile, Verizon cũng nằm trong số các công ty bị nhắm mục tiêu. Những tổ chức bị xâm phạm sau đó có thể bị lạm dụng để thực hiện các chuỗi tấn công tiếp theo vào các tổ chức khác như Signal (thông qua Twilio) và DigitalOcean (thông qua MailChimp).

Điều đáng chú ý về các cuộc tấn công là việc sử dụng kênh Telegram của kẻ đe dọa để lưu các thông tin bị xâm phạm, bao gồm thông tin đăng nhập, địa chỉ email và mã xác thực đa yếu tố (MFA).

Mục tiêu cuối cùng của chiến dịch vẫn chưa rõ ràng, nhưng nó bị nghi ngờ là hoạt động gián điệp và có động cơ tài chính, cho phép kẻ đe dọa truy cập vào dữ liệu bí mật, tài sản trí tuệ và hộp thư đến của công ty cũng như bòn rút tiền.

Những nỗ lực tấn công vào tài khoản Signal cho thấy những kẻ tấn công đang cố gắng xâm nhập các cuộc trò chuyện riêng tư và dữ liệu nhạy cảm khác. Vẫn chưa biết bằng cách nào mà chúng lấy được số điện thoại và tên của các nhân viên.

Để giảm thiểu nguy cơ bị xâm phạm, người dùng nên tránh truy cập vào các đường link lạ, chỉ nên đăng nhập vào trang web chính thức của các ứng dụng/dịch vụ đang sử dụng. Ngoài ra, các công ty cũng nên triển khai các khóa đào tạo để nâng cao nhận thức, cảnh giác cho nhân viên về các trường hợp tấn công lừa đảo như vậy.

Nguồn: thehackernews.com.

scrolltop