El especialista en administración de acceso e identidad, Okta, advirtió a los clientes que estén en guardia contra una campaña de phishing generalizada e impactante que ya ha afectado a un número muy limitado de sus clientes.
Esto se produce después de que los investigadores de Group-IB reunieran evidencia que vinculaba múltiples incidentes recientes, incluido un ataque a Twilio, en una campaña criminal que parece haber explotado en gran medida la marca Okta y la confianza que sus clientes tienen en ella, para comprometer sus objetivos.
La campaña, que Okta denominó Scatter Swine (Group-IB acuñó un nombre diferente, 0ktapus), descubrió que el actor de amenazas podía acceder a los datos de algunos clientes de Okta a través de los sistemas de Twilio.
El equipo de operaciones cibernéticas defensivas de Okta determinó que el actor de amenazas podía acceder a una pequeña cantidad de números de teléfonos móviles y mensajes SMS asociados que contenían códigos de acceso de un solo uso a través de la consola de Twilio.
“Okta notificó a todos los clientes en los que se veía un número de teléfono en la consola en el momento en que se accedió a la consola”, dijo un portavoz de la compañía. “No hay acciones necesarias para los clientes en este momento”.
La propia investigación de Okta encontró que los eventos del incidente se desarrollaron de la siguiente manera. El 7 de agosto de 2022, Twilio había revelado que se accedió a cuentas de clientes y aplicaciones internas en ataques resultantes de un phishing exitoso. Notificó a Okta que se accedió a datos no especificados relevantes para sus clientes durante este incidente el 8 de agosto.
En ese momento, Okta redirigió las comunicaciones basadas en SMS a un proveedor alternativo para que pudiera tener espacio libre para investigar junto con Twilio, que proporcionó datos como registros de sistemas internos que podrían usarse para correlacionar e identificar el alcance de la actividad relacionada con su usuarios
Esta actividad, como se detalla anteriormente, afectó a 38 números de teléfono únicos, casi todos los cuales pueden vincularse a una sola organización sin nombre. Okta dijo que parecía que el actor de amenazas estaba intentando expandir su acceso a esa organización. Anteriormente, había utilizado nombres de usuario y contraseñas robados en campañas de phishing para desencadenar desafíos de autenticación multifactor basados en SMS en su objetivo y utilizó su acceso a los sistemas de Twilio para eliminar los códigos de acceso únicos enviados en estos desafíos.
Posteriormente, Okta participó en la búsqueda de amenazas en los registros de su plataforma y encontró evidencia de que el actor de amenazas también probó esta técnica contra una sola cuenta no relacionada con su objetivo principal, pero no realizó ninguna otra acción. No hay evidencia de que haya utilizado con éxito la técnica para expandir el alcance de su acceso más allá del objetivo principal.
Okta dijo que 0ktapus/Scatter Swine ha apuntado directamente a Okta en el pasado, pero no ha podido acceder a las cuentas debido a su seguridad interna.
El grupo utiliza la infraestructura proporcionada por el proveedor Bitlaunch compatible con las criptomonedas, que proporciona servidores de DigitalOcean, Vultr y Linode. Sus registradores de nombres de dominio preferidos son Namecheap y Porkbun, los cuales aceptan pagos de bitcoin.
Inicialmente recopila números de teléfono de los servicios de agregación de datos que vinculan los números de teléfono con los empleados (Group-IB presentó evidencia de que puede haber pirateado algunos proveedores de comunicaciones para obtener estos datos) y envía señuelos de phishing masivos a varios empleados en sus objetivos e incluso, en algunos casos, sus familiares. Se sabe que realiza un seguimiento con llamadas telefónicas que pretenden ser un agente de soporte técnico, y en estas llamadas sus operadores aparentemente hablan inglés fluido con acento norteamericano.
Si obtiene con éxito las credenciales de usuario de su campaña de phishing, intenta autenticarse utilizando un proxy anónimo. En esta campaña, favoreció el servicio VPN Mullvad (Mole), un servicio comercial de código abierto con sede en Suecia.
Su kit de phishing está diseñado para capturar nombres de usuario, contraseñas y factores de código de acceso de un solo uso, y se sabe que activa múltiples notificaciones automáticas en un nuevo intento de engañar a los objetivos para que permitan el acceso a sus cuentas.
Ha registrado múltiples nombres de dominio en formatos comunes para engañar aún más a los objetivos para que ingresen sus credenciales en sus sitios de phishing. En el caso de los clientes de Okta, por lo general se han concretado en [target company]-okta.com, .net, .org o .us, aunque también se han utilizado otros dominios.
Más información sobre las tácticas, técnicas y procedimientos de 0ktapus/Scatter Swine está disponible en Okta, que también aconseja a sus clientes que adopten una estrategia de defensa en profundidad para protegerse mejor de este u otros ataques similares.
