本月早些时候入侵 Twilio的黑客还在他们的黑客狂潮中入侵了 130 多个组织,这些组织获得了近 10,000 名员工的凭据。
Twilio 最近的网络入侵使黑客能够访问 125 名 Twilio 客户和公司的数据——包括端到端加密消息应用程序 Signal——在诱骗员工交出他们的公司登录凭据和来自 SMS 网络钓鱼消息的两因素代码之后来自 Twilio 的 IT 部门。当时,TechCrunch 获悉冒充其他公司的网络钓鱼页面,包括一家美国互联网公司、一家 IT 外包公司和一家客户服务提供商,但该活动的规模仍不清楚。
现在,网络安全公司 Group-IB 表示,对 Twilio 的攻击是其称为“0ktapus”的黑客组织更广泛活动的一部分,指的是黑客如何主要针对使用 Okta作为单点登录提供商的组织。
Group-IB 在其一名客户成为相关网络钓鱼攻击的目标后展开调查,该公司在与 TechCrunch 共享的调查结果中表示,绝大多数目标公司的总部位于美国或拥有美国员工。根据 Group-IB 的调查结果,自 3 月以来,攻击者至少窃取了 9,931 个用户凭据,其中一半以上包含捕获的用于访问公司网络的多因素身份验证代码。
Group-IB 的高级威胁情报分析师 Roberto Martinez 告诉 TechCrunch:“在许多情况下,有足够独特的图像、字体或脚本可以用来识别使用相同网络钓鱼工具包设计的网络钓鱼网站。” “在这种情况下,我们发现一个图像被利用 Okta 身份验证的网站合法使用,并被网络钓鱼工具包使用。”
“一旦我们找到了网络钓鱼工具包的副本,我们就开始深入挖掘以更好地了解威胁。对网络钓鱼工具包的分析表明,它的配置很差,而且它的开发方式提供了提取被盗凭据以进行进一步分析的能力,”Martinez 说。
虽然目前尚不清楚黑客是如何获得电话号码和员工姓名的,但他们随后会收到 SMS 网络钓鱼消息,但 Group-IB 指出,攻击者首先针对移动运营商和电信公司,并且“本可以从最初的攻击中收集到这些号码。 ”
Group-IB 不愿透露任何企业受害者的姓名,但表示名单包括“知名组织”,其中大部分提供 IT、软件开发和云服务。与 TechCrunch 分享的受害者细分显示,威胁参与者还针对金融行业的 13 家组织、7 家零售巨头和 2 家视频游戏组织。
在调查过程中,Group-IB 发现黑客的网络钓鱼工具包中的代码揭示了 Telegram 机器人的配置细节,攻击者使用这些细节来丢弃受损数据。 (Cloudflare首次披露了黑客对 Telegram 的使用。)Group-IB 确定了 Telegram 组的一名管理员,其用户名为“X”,其 GitHub 和 Twitter 用户名表明他们可能居住在北卡罗来纳州。
Group-IB 表示,目前尚不清楚这些攻击是提前端到端计划的,还是在每个阶段都采取了机会主义行动。该公司补充说:“无论如何,0ktapus 活动取得了令人难以置信的成功,而且它的全部规模可能在一段时间内还不得而知。”
莫斯科创立的初创公司 Group-IB 由 Ilya Sachkov 共同创立,Ilya Sachkov 一直担任该公司的首席执行官,直到 2021 年 9 月 Sachkov 在俄罗斯因涉嫌将机密信息转移给一个未具名的外国政府而被以叛国罪罪拘留,Sachkov 否认了这一说法。此后将总部迁至新加坡的 Group-IB 坚称这位联合创始人是清白的。
原文: https://techcrunch.com/2022/08/25/twilio-hackers-group-ib/