Компания-разработчик программного обеспечения Retool сообщила, что учетные записи 27 ее облачных клиентов были скомпрометированы в результате целенаправленной атаки социальной инженерии на основе SMS.
Фирма из Сан-Франциско обвинила функцию облачной синхронизации аккаунта Google, недавно представленную в апреле 2023 года, в усугублении взлома, назвав ее "темным шаблоном".
"Тот факт, что Google Authenticator синхронизируется с облаком, является новым вектором атаки", - сказал Снир Кодеш, технический директор Retool. "Изначально мы внедрили многофакторную аутентификацию. Но благодаря этому обновлению Google то, что раньше было многофакторной аутентификацией, незаметно (для администраторов) превратилось в однофакторную аутентификацию".
Retool заявила, что инцидент, произошедший 27 августа 2023 года, не допускал несанкционированного доступа к текущим или управляемым учетным записям. Это также совпало с переносом компанией своих логинов в Okta.
Все началось с фишинг-атаки SMS, направленной на ее сотрудников, в ходе которой злоумышленники выдавали себя за члена ИТ-команды и инструктировали получателей перейти по, казалось бы, законной ссылке для решения проблемы, связанной с оплатой труда.
Один сотрудник попался в фишинговую ловушку, которая привела его на поддельную целевую страницу, на которой его обманом заставили передать свои учетные данные. На следующем этапе атаки хакеры позвонили сотруднику, снова представившись сотрудником ИТ-службы, подделав его "реальный голос" для получения кода многофакторной аутентификации (MFA).
"Дополнительный токен OTP, которым обменивались при звонке, был критически важен, поскольку он позволял злоумышленнику добавлять свое собственное устройство к учетной записи Okta сотрудника, что позволяло им создавать свои собственные Okta MFA с этого момента", - сказал Кодеш. "Это позволило им иметь активный сеанс G Suite [теперь Google Workspace] на этом устройстве".
Тот факт, что сотрудник также активировал функцию облачной синхронизации Google Authenticator, позволил субъектам угрозы получить расширенный доступ к его внутренним системам администрирования и эффективно завладеть учетными записями, принадлежащими 27 клиентам в криптоиндустрии.
В конечном итоге злоумышленники изменили электронные письма этих пользователей и сбросили их пароли. В результате взлома у Fortress Trust, одного из пострадавших пользователей, была украдена криптовалюта на сумму около 15 миллионов долларов, сообщает CoinDesk.
"Поскольку контроль над учетной записью Okta привел к контролю над учетной записью Google, что привело к контролю над всеми OTP, хранящимися в Google Authenticator", - указал Кодеш.
Во всяком случае, сложная атака показывает, что синхронизация одноразовых кодов с облаком может нарушить фактор "что-то, что есть у пользователя", требуя, чтобы пользователи полагались на аппаратные ключи безопасности или пароли, совместимые с FIDO2, для защиты от фишинговых атак.
Хотя точная личность хакеров не разглашается, способ действия схож с финансово мотивированным субъектом угрозы, отслеживаемым как Scattered Spider (он же UNC3944), который известен своей изощренной фишинговой тактикой.
"Основываясь на анализе предполагаемых фишинговых доменов UNC3944, вполне вероятно, что субъекты угрозы в некоторых случаях использовали доступ к среде жертвы для получения информации о внутренних системах и использовали эту информацию для облегчения более специализированных фишинговых кампаний", - сообщил Мандиант на прошлой неделе.
"Например, в некоторых случаях субъекты угрозы создавали новые фишинговые домены, которые включали имена внутренних систем".
Использование deepfakes и синтетических носителей также стало предметом новой рекомендации правительства США, в которой предупредили, что deepfakes аудио, видео и текста могут использоваться для широкого спектра вредоносных целей, включая атаки на компрометацию деловой электронной почты (BEC) и мошенничество с криптовалютами.
Фирма из Сан-Франциско обвинила функцию облачной синхронизации аккаунта Google, недавно представленную в апреле 2023 года, в усугублении взлома, назвав ее "темным шаблоном".
"Тот факт, что Google Authenticator синхронизируется с облаком, является новым вектором атаки", - сказал Снир Кодеш, технический директор Retool. "Изначально мы внедрили многофакторную аутентификацию. Но благодаря этому обновлению Google то, что раньше было многофакторной аутентификацией, незаметно (для администраторов) превратилось в однофакторную аутентификацию".
Retool заявила, что инцидент, произошедший 27 августа 2023 года, не допускал несанкционированного доступа к текущим или управляемым учетным записям. Это также совпало с переносом компанией своих логинов в Okta.
Все началось с фишинг-атаки SMS, направленной на ее сотрудников, в ходе которой злоумышленники выдавали себя за члена ИТ-команды и инструктировали получателей перейти по, казалось бы, законной ссылке для решения проблемы, связанной с оплатой труда.
Один сотрудник попался в фишинговую ловушку, которая привела его на поддельную целевую страницу, на которой его обманом заставили передать свои учетные данные. На следующем этапе атаки хакеры позвонили сотруднику, снова представившись сотрудником ИТ-службы, подделав его "реальный голос" для получения кода многофакторной аутентификации (MFA).
"Дополнительный токен OTP, которым обменивались при звонке, был критически важен, поскольку он позволял злоумышленнику добавлять свое собственное устройство к учетной записи Okta сотрудника, что позволяло им создавать свои собственные Okta MFA с этого момента", - сказал Кодеш. "Это позволило им иметь активный сеанс G Suite [теперь Google Workspace] на этом устройстве".
Тот факт, что сотрудник также активировал функцию облачной синхронизации Google Authenticator, позволил субъектам угрозы получить расширенный доступ к его внутренним системам администрирования и эффективно завладеть учетными записями, принадлежащими 27 клиентам в криптоиндустрии.
В конечном итоге злоумышленники изменили электронные письма этих пользователей и сбросили их пароли. В результате взлома у Fortress Trust, одного из пострадавших пользователей, была украдена криптовалюта на сумму около 15 миллионов долларов, сообщает CoinDesk.
"Поскольку контроль над учетной записью Okta привел к контролю над учетной записью Google, что привело к контролю над всеми OTP, хранящимися в Google Authenticator", - указал Кодеш.
Во всяком случае, сложная атака показывает, что синхронизация одноразовых кодов с облаком может нарушить фактор "что-то, что есть у пользователя", требуя, чтобы пользователи полагались на аппаратные ключи безопасности или пароли, совместимые с FIDO2, для защиты от фишинговых атак.
Хотя точная личность хакеров не разглашается, способ действия схож с финансово мотивированным субъектом угрозы, отслеживаемым как Scattered Spider (он же UNC3944), который известен своей изощренной фишинговой тактикой.
"Основываясь на анализе предполагаемых фишинговых доменов UNC3944, вполне вероятно, что субъекты угрозы в некоторых случаях использовали доступ к среде жертвы для получения информации о внутренних системах и использовали эту информацию для облегчения более специализированных фишинговых кампаний", - сообщил Мандиант на прошлой неделе.
"Например, в некоторых случаях субъекты угрозы создавали новые фишинговые домены, которые включали имена внутренних систем".
Использование deepfakes и синтетических носителей также стало предметом новой рекомендации правительства США, в которой предупредили, что deepfakes аудио, видео и текста могут использоваться для широкого спектра вредоносных целей, включая атаки на компрометацию деловой электронной почты (BEC) и мошенничество с криптовалютами.
