आईएएम हाउस ओक्टा ने 0ktapus/स्कैटर स्वाइन अटैक की पुष्टि की
पहचान और पहुंच प्रबंधन विशेषज्ञ ऑक्टा व्यापक और प्रभावशाली फ़िशिंग अभियान इसने पहले ही बहुत सीमित ग्राहकों को प्रभावित किया है।
इसके बाद आता है ग्रुप आईबी के शोधकर्ताओं ने जुटाए सबूत यह एक आपराधिक अभियान है जो कई हालिया घटनाओं को एक साथ जोड़ता है, जिसमें ट्विलियो पर हमला भी शामिल है, और ऐसा प्रतीत होता है कि उसने अपने लक्ष्यों से समझौता करने के लिए ओक्टा ब्रांड और उसके ग्राहकों के भरोसे का घोर दुरुपयोग किया है।
अभियान, ओक्टा इसे स्कैटर स्वाइन कहते हैं – ग्रुप-आईबी ने एक और नाम बनाया, 0ktapus – कुछ ओक्टा ग्राहक डेटा को ट्विलियो के सिस्टम के माध्यम से हमलावरों के लिए सुलभ पाया गया।
ओक्टा की डिफेंस साइबर ऑप्स टीम ने पाया कि हमलावर ट्विलियो कंसोल के माध्यम से मुट्ठी भर मोबाइल फोन नंबर और एक बार के पासकोड वाले संबंधित एसएमएस संदेशों तक पहुंचने में सक्षम थे।
कंपनी के एक प्रवक्ता ने कहा, “Okta ने उन ग्राहकों को सूचित किया है जिनके फोन नंबर कंसोल पर प्रदर्शित किए गए थे, जब उन्होंने इसे एक्सेस किया।” “इस समय आपकी ओर से किसी कार्रवाई की आवश्यकता नहीं है।”
ओक्टा की अपनी जांच में पाया गया कि घटना की घटनाएं इस प्रकार सामने आईं। 7 अगस्त 2022, Twilio ने खुलासा किया कि एक सफल फ़िशिंग हमले में ग्राहक खातों और आंतरिक ऐप्स को एक्सेस किया गया था। कंपनी ने ओक्टा को सूचित किया कि 8 अगस्त की इस घटना में उसके ग्राहकों से संबंधित अनिर्दिष्ट डेटा का उपयोग किया गया था।
उस समय, ओक्टा ने एसएमएस-आधारित संचार को एक वैकल्पिक प्रदाता के पास भेज दिया ताकि वे ट्विलियो के साथ जांच करने के लिए स्थान खाली कर सकें। ट्विलियो ने आंतरिक सिस्टम लॉग जैसे डेटा प्रदान किए हैं जिनका उपयोग प्रासंगिक गतिविधि के दायरे को सहसंबंधित करने और पहचानने के लिए किया जा सकता है। उपयोगकर्ता।
जैसा कि ऊपर बताया गया है, इस गतिविधि ने 38 अद्वितीय फ़ोन नंबरों को प्रभावित किया, जिनमें से लगभग सभी एक अनाम संगठन से जुड़े हो सकते हैं। ओक्टा ने कहा कि ऐसा लगता है कि हमलावर संगठन तक अपनी पहुंच बढ़ाने की कोशिश कर रहे हैं। पहले, फ़िशिंग अभियानों में चुराए गए उपयोगकर्ता नाम और पासवर्ड का उपयोग लक्ष्य पर एसएमएस-आधारित बहु-कारक प्रमाणीकरण चुनौतियों को ट्रिगर करने के लिए किया जाता था, और इन चुनौतियों में भेजे गए सिस्टम को पुनः प्राप्त करने के लिए Twilio के सिस्टम तक पहुंच का उपयोग किया जाता था। मैं टाइम पासकोड को बाहर कर रहा था।
ओक्टा ने फिर प्लेटफॉर्म लॉग्स पर धमकी दी, इस सबूत के साथ कि हमलावर ने प्राथमिक लक्ष्य से संबंधित एक खाते के खिलाफ भी इस तकनीक का परीक्षण किया, लेकिन कोई अन्य कार्रवाई नहीं की। मैंने पाया इस बात का कोई प्रमाण नहीं है कि इस तकनीक का उपयोग प्राथमिक लक्ष्य से आगे तक पहुँचने के लिए किया गया है।
ओक्टा के अनुसार, 0ktapus/Scatter Swine ने अतीत में सीधे ओक्टा को निशाना बनाया है लेकिन आंतरिक सुरक्षा के कारण खातों तक पहुँचने में असमर्थ था।
समूह क्रिप्टो-फ्रेंडली बिटलांच प्रदाताओं द्वारा प्रदान किए गए बुनियादी ढांचे का उपयोग करता है और DigitalOcean, Vultr और Linode के सर्वर प्रदान करता है। इसके पसंदीदा डोमेन नाम रजिस्ट्रार नेमस्पेस और पोर्कबुन हैं, जो दोनों बिटकॉइन भुगतान स्वीकार करते हैं।
सबसे पहले, हम डेटा एकत्रीकरण सेवा से फ़ोन नंबर एकत्र करते हैं जो कर्मचारियों के साथ फ़ोन नंबरों को जोड़ता है। ग्रुप-आईबी ने इस बात के सबूत पेश किए हैं कि हो सकता है कि उसने इस डेटा को हासिल करने के लिए कुछ टेलीकॉम प्रोवाइडर्स को हैक किया हो। कुछ मामलों में, परिवार। यह तकनीकी सहायता कर्मियों के रूप में प्रस्तुत कॉलों का पालन करने के लिए जाना जाता है, और इन कॉलों में ऑपरेटर उत्तर अमेरिकी उच्चारण के साथ धाराप्रवाह अंग्रेजी बोलता है।
फ़िशिंग अभियान से सफलतापूर्वक उपयोगकर्ता क्रेडेंशियल प्राप्त करने के बाद, यह एक अनाम प्रॉक्सी का उपयोग करके प्रमाणित करने का प्रयास करता है। अभियान ने मुलवाड (मोल) वीपीएन सेवा का समर्थन किया, जो स्वीडन में स्थित एक ओपन सोर्स वाणिज्यिक सेवा है।
फ़िशिंग किट को उपयोगकर्ता नाम, पासवर्ड और वन-टाइम पासकोड तत्वों को कैप्चर करने के लिए डिज़ाइन किया गया था, जिससे उनके खातों तक पहुंच प्रदान करने के लिए लक्ष्य को बरगलाने के प्रयास में कई पुश नोटिफिकेशन को ट्रिगर किया गया।
यह कई डोमेन नामों को एक सामान्य प्रारूप में पंजीकृत करता है और फ़िशिंग साइटों पर उनके क्रेडेंशियल दर्ज करने के लिए ट्रिक्स का लक्ष्य रखता है। ओक्टा ग्राहकों के लिए, ये आम तौर पर निम्न रूप लेते हैं: [target company]- okta.com, .net, .org, या .us, लेकिन अन्य डोमेन का भी उपयोग किया जाता है।
0ktapus/Scatter Swine रणनीति, तकनीकों और प्रक्रियाओं पर विस्तृत जानकारी Okta . से उपलब्धऔर ग्राहकों को अपनाने की सलाह भी देता है रक्षा-गहन रणनीति इस या इसी तरह के हमलों से खुद को बचाने के लिए।
