关键词
网络攻击
Okta正在警告客户最近几周遭受的社交工程攻击,攻击者通过这些攻击获取提升的管理员权限。这些攻击针对IT服务台人员,以欺骗他们重置高特权用户已注册的所有多因素身份验证(MFA)因素。公司没有将此次攻击归因于特定的威胁行为者。一旦获得Okta客户组织(租户)中的高特权角色,威胁行为者采用了新颖的横向移动和防御回避方法。
身份服务提供商发布的警报中写道:“近几周,多家总部位于美国的Okta客户报告了一系列针对IT服务台人员的社交工程攻击,攻击者的策略是说服服务台人员重置高特权用户已注册的所有多因素身份验证(MFA)因素。”“攻击者随后利用他们对高特权Okta超级管理员账户的控制权,滥用合法的身份联合特性,使他们能够冒充受攻击组织内的用户。”威胁行为者似乎要么拥有高特权用户账户的密码,要么能够在呼叫IT服务台之前通过Active Directory(AD)操纵委托身份验证流程。威胁行为者针对的是被指定为超级管理员权限的Okta客户用户。观察到攻击者使用匿名代理服务以及与用户账户之前没有关联的IP和设备来访问被攻击的账户。一旦攻破超级管理员账户,威胁行为者就会使用这些账户来为其他账户分配更高的权限,或者重置现有管理员账户中已注册的身份验证器。该提供商还报告称威胁行为者删除了身份验证策略的第二因素。这次黑客攻击活动发生在2023年7月29日至8月19日之间。
据报道,威胁行为者使用了名为0ktapus的网络钓鱼工具包,该工具包在2022年还被用于针对Twilio和Cloudflare的攻击。该工具被用来诱使用户提供凭据和MFA代码。在最新的攻击中,威胁行为者被发现配置了第二个身份提供者,以充当一个“冒名应用程序”,以代表其他用户访问被攻击组织内的应用程序。警报继续说:“观察到威胁行为者配置了第二个身份提供者,充当一个“冒名应用程序”,以代表其他用户访问被攻击组织内的应用程序。”“这个由攻击者控制的第二个身份提供者将作为一个“源”身份提供者在与目标之间的入站联合关系中被使用(有时称为“Org2Org”)。”
END
阅读推荐
【安全圈】针对关键 VMware SSH 身份验证绕过漏洞的利用已发布
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】Okta客户正遭遇社交工程攻击,可被更改管理者权限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论