Хакеры Twilio взломали более 130 организаций за несколько месяцев взлома
Хакеры, взломавшие Twilio ранее в этом месяце, также взломали более 130 организаций во время хакерской атаки, в ходе которой были получены учетные данные почти 10 000 сотрудников.
В результате недавнего вторжения в сеть Twilio хакеры получили доступ к данным 125 клиентов и компаний Twilio, в том числе к приложению для обмена сообщениями с сквозным шифрованием Signal, после того, как сотрудники обманом заставили передать свои корпоративные учетные данные для входа и двухфакторные коды из SMS. фишинговые сообщения. Предположительно из ИТ-отдела Twilio. В то время TechCrunch узнал о фишинговых страницах, выдающих себя за другие компании, включая американскую интернет-компанию, ИТ-аутсорсинговую компанию и поставщика услуг по обслуживанию клиентов, но масштаб кампании оставался неопределенным.
Теперь компания Group-IB, занимающаяся кибербезопасностью, заявляет, что атака на Twilio была частью более широкой кампании хакерской группы, которую она называет «0ktapus», что указывает на то, что хакеры нацелены в первую очередь на организации, которые используют Okta в качестве поставщика единого входа. .
Group-IB, которая начала расследование после того, как один из ее клиентов стал жертвой связанной с этим фишинговой атаки, заявила в выводах, которыми поделились с TechCrunch, что подавляющее большинство компаний, подвергшихся атаке, имеют штаб-квартиры в Штатах или имеют персонал, базирующийся в США. Соединенные Штаты. По данным Group-IB, с марта злоумышленники украли не менее 9 931 учетных данных пользователей, более половины из которых содержат перехваченные коды многофакторной аутентификации, используемые для получения доступа к сети компании.
"Во многих случаях существуют изображения, шрифты или скрипты, которые достаточно уникальны, чтобы их можно было использовать для идентификации фишинговых веб-сайтов, разработанных с использованием одного и того же фишингового комплекта", — Роберто Мартинес, старший аналитик по угрозам в Group-IB. говорит TechCrunch. "В данном случае мы обнаружили изображение, законно используемое сайтами, использующими аутентификацию Okta, используемое набором для фишинга."
"После того, как мы обнаружили копию набора для фишинга, мы начали копать глубже, чтобы лучше понять угрозу. Анализ набора для фишинга показал, что он был неправильно сконфигурирован, а способ его разработки позволял извлекать украденные учетные данные для дальнейшего анализа», — сказал Мартинес.
Хотя до сих пор неясно, как хакеры получили номера телефонов и имена сотрудников, которые затем получили фишинговые текстовые сообщения, Group-IB отмечает, что злоумышленник сначала нацелился на операторов мобильной связи и телекоммуникационных компаний и «мог собрать номера эти первоначальные атаки."
Group-IB не разглашает названия пострадавших компаний, но сообщает, что в список входят «известные организации», большинство из которых предоставляют ИТ, разработку программного обеспечения и облачные сервисы. Разбивка жертв, которой поделились с TechCrunch, показывает, что злоумышленники также нацелились на 13 организаций финансовой индустрии, семь гигантов розничной торговли и две организации, занимающиеся видеоиграми.
В ходе расследования Group-IB обнаружила, что хакерский код комплекта для фишинга раскрывает детали конфигурации бота Telegram, который злоумышленники использовали для сброса скомпрометированных данных. (Cloudflare впервые раскрыла, как хакеры использовали Telegram.) Group-IB установила личность одного из администраторов группы Telegram, который использует никнейм «X», чьи дескрипторы GitHub и Twitter предполагают, что он может проживать в Северной Каролине.< /p>
Group-IB заявляет, что пока неясно, были ли атаки запланированы заранее от начала до конца или предпринимались оппортунистические действия на каждом этапе. «В любом случае, кампания 0ktapus имела невероятный успех, и ее масштабы могут быть неизвестны в течение некоторого времени», — добавили в компании.
Стартап Group-IB, основанный в Москве, был соучредителем Ильи Сачкова, который был исполнительным директором компании до сентября 2021 года, когда Сачков был арестован в России за государственную измену после того, как якобы передал секретную информацию анонимному иностранному правительству, утверждает Сачков. отрицает. Group-IB, которая с тех пор перенесла свою штаб-квартиру в Сингапур, заявляет о невиновности соучредителя.
Хакеры, взломавшие Twilio ранее в этом месяце, также взломали более 130 организаций во время хакерской атаки, в ходе которой были получены учетные данные почти 10 000 сотрудников.
В результате недавнего вторжения в сеть Twilio хакеры получили доступ к данным 125 клиентов и компаний Twilio, в том числе к приложению для обмена сообщениями с сквозным шифрованием Signal, после того, как сотрудники обманом заставили передать свои корпоративные учетные данные для входа и двухфакторные коды из SMS. фишинговые сообщения. Предположительно из ИТ-отдела Twilio. В то время TechCrunch узнал о фишинговых страницах, выдающих себя за другие компании, включая американскую интернет-компанию, ИТ-аутсорсинговую компанию и поставщика услуг по обслуживанию клиентов, но масштаб кампании оставался неопределенным.
Теперь компания Group-IB, занимающаяся кибербезопасностью, заявляет, что атака на Twilio была частью более широкой кампании хакерской группы, которую она называет «0ktapus», что указывает на то, что хакеры нацелены в первую очередь на организации, которые используют Okta в качестве поставщика единого входа. .
Group-IB, которая начала расследование после того, как один из ее клиентов стал жертвой связанной с этим фишинговой атаки, заявила в выводах, которыми поделились с TechCrunch, что подавляющее большинство компаний, подвергшихся атаке, имеют штаб-квартиры в Штатах или имеют персонал, базирующийся в США. Соединенные Штаты. По данным Group-IB, с марта злоумышленники украли не менее 9 931 учетных данных пользователей, более половины из которых содержат перехваченные коды многофакторной аутентификации, используемые для получения доступа к сети компании.
"Во многих случаях существуют изображения, шрифты или скрипты, которые достаточно уникальны, чтобы их можно было использовать для идентификации фишинговых веб-сайтов, разработанных с использованием одного и того же фишингового комплекта", — Роберто Мартинес, старший аналитик по угрозам в Group-IB. говорит TechCrunch. "В данном случае мы обнаружили изображение, законно используемое сайтами, использующими аутентификацию Okta, используемое набором для фишинга."
"После того, как мы обнаружили копию набора для фишинга, мы начали копать глубже, чтобы лучше понять угрозу. Анализ набора для фишинга показал, что он был неправильно сконфигурирован, а способ его разработки позволял извлекать украденные учетные данные для дальнейшего анализа», — сказал Мартинес.
Хотя до сих пор неясно, как хакеры получили номера телефонов и имена сотрудников, которые затем получили фишинговые текстовые сообщения, Group-IB отмечает, что злоумышленник сначала нацелился на операторов мобильной связи и телекоммуникационных компаний и «мог собрать номера эти первоначальные атаки."
Group-IB не разглашает названия пострадавших компаний, но сообщает, что в список входят «известные организации», большинство из которых предоставляют ИТ, разработку программного обеспечения и облачные сервисы. Разбивка жертв, которой поделились с TechCrunch, показывает, что злоумышленники также нацелились на 13 организаций финансовой индустрии, семь гигантов розничной торговли и две организации, занимающиеся видеоиграми.
В ходе расследования Group-IB обнаружила, что хакерский код комплекта для фишинга раскрывает детали конфигурации бота Telegram, который злоумышленники использовали для сброса скомпрометированных данных. (Cloudflare впервые раскрыла, как хакеры использовали Telegram.) Group-IB установила личность одного из администраторов группы Telegram, который использует никнейм «X», чьи дескрипторы GitHub и Twitter предполагают, что он может проживать в Северной Каролине.< /p>
Group-IB заявляет, что пока неясно, были ли атаки запланированы заранее от начала до конца или предпринимались оппортунистические действия на каждом этапе. «В любом случае, кампания 0ktapus имела невероятный успех, и ее масштабы могут быть неизвестны в течение некоторого времени», — добавили в компании.
Стартап Group-IB, основанный в Москве, был соучредителем Ильи Сачкова, который был исполнительным директором компании до сентября 2021 года, когда Сачков был арестован в России за государственную измену после того, как якобы передал секретную информацию анонимному иностранному правительству, утверждает Сачков. отрицает. Group-IB, которая с тех пор перенесла свою штаб-квартиру в Сингапур, заявляет о невиновности соучредителя.
What's Your Reaction?
