据研究人员和犯罪组织自身透露,ShinyHunters在其最新的Okta单点登录凭证窃取活动中,已将约100家组织列为攻击目标。
Silent Push研究人员在周一的报告中表示,这次身份盗窃行动将目标瞄准了100多个"高价值企业"的Okta SSO账户。网络威胁猎人还列出了所有在过去30天内"检测到针对其域名的主动攻击或基础设施准备"的公司。
受影响的技术和软件公司包括Atlassian、AppLovin、Canva、Epic Games、Genesys、HubSpot、Iron Mountain、RingCentral和ZoomInfo等,涉及多个行业领域。
需要明确的是,这并不意味着这些公司已经遭到入侵。Silent Push高级威胁研究员Zach Edwards表示:"我们没有关于任何具体攻击的情报可以分享,也无法确认是否有任何攻击成功。我们确实认为在公开博客中列出的组织已成为攻击目标。"
ShinyHunters没有确认使用Okta SSO凭证入侵了多少家公司,也没有说明在此次活动中有多少家公司被定为目标,但确实告诉记者,100这个数字"很接近"实际情况。
谷歌Mandiant团队也在周一确认,正在"跟踪一个新的、正在进行的ShinyHunters品牌活动"。该团队使用"进化的"语音钓鱼技术来"窃取受害组织的SSO凭证,并将威胁行为者控制的设备注册到受害者的多因素认证解决方案中",Mandiant咨询首席技术官Charles Carmakal表示。
"这是一个活跃且持续进行的活动。在获得初始访问权限后,这些行为者会转向SaaS环境来窃取敏感数据,"他继续说道。"一个自称ShinyHunters的行为者已经向一些受害组织提出了勒索要求。"
Carmakal补充说,虽然这些身份攻击不是由产品或基础设施的安全漏洞引起的,但Mandiant"强烈"建议组织使用抗钓鱼的多因素认证,如FIDO2安全密钥或通行密钥。
"这些保护措施在抵抗社会工程攻击方面比推送式或短信认证更有效,"他说。"管理员还应该实施严格的应用授权政策,并监控日志以发现异常的API活动或未经授权的设备注册。"
ShinyHunters的最新活动在上周曝光,此前Okta发出了关于犯罪分子通过语音钓鱼获取SSO凭证并利用这些凭证攻击组织账户的警报。
上周五,ShinyHunters告诉记者他们是这次活动的幕后黑手,并声称通过语音钓鱼获取Crunchbase和Betterment的Okta单点登录代码,从而获得了访问权限。犯罪分子还泄露了他们声称属于Betterment的2000多万条记录和属于Crunchbase的200万条记录。
Q&A
Q1:ShinyHunters的Okta攻击活动是什么?
A:ShinyHunters发起了一个针对约100家高价值企业的身份盗窃活动,通过语音钓鱼技术窃取Okta单点登录凭证,然后利用这些凭证访问组织的SaaS环境并窃取敏感数据。
Q2:哪些知名公司受到了ShinyHunters的攻击威胁?
A:受到攻击威胁的公司包括Atlassian、AppLovin、Canva、Epic Games、Genesys、HubSpot、Iron Mountain、RingCentral和ZoomInfo等技术和软件企业,但这不意味着这些公司已经被成功入侵。
Q3:如何防范类似的Okta身份盗窃攻击?
A:专家建议使用抗钓鱼的多因素认证方式,如FIDO2安全密钥或通行密钥,因为这些保护措施比推送式或短信认证更能抵抗社会工程攻击。管理员还应实施严格的应用授权政策并监控异常活动。
热门跟贴