O provedor de serviços de identidade Okta alertou na sexta-feira sobre ataques de engenharia social orquestrados por atores de ameaça para obter permissões elevadas de administrador.
"Nas últimas semanas, vários clientes da Okta baseados nos EUA relataram um padrão consistente de ataques de engenharia social contra o pessoal de serviço de TI, em que a estratégia do chamador era convencer o pessoal de serviço a redefinir todos os fatores de autenticação multifator (MFA) inscritos por usuários altamente privilegiados", disse a empresa.
O adversário então passou a abusar das contas altamente privilegiadas de Super Administrador da Okta para se passar por usuários dentro da organização comprometida.
A campanha, conforme a empresa, ocorreu entre 29 de julho e 19 de agosto de 2023.
A Okta não divulgou a identidade do ator da ameaça, mas as táticas exibem todas as características de um cluster de atividade conhecido como Muddled Libra, que é dito compartilhar algum grau de sobreposição com Scattered Spider e Scatter Swine.
No centro dos ataques está um kit de phishing comercial chamado 0ktapus, que oferece modelos pré-fabricados para criar portais de autenticação falsos realistas e, por fim, colher credenciais e códigos de autenticação multifator (MFA).
Ele também incorpora um canal de comando e controle (C2) via Telegram.
A Unidade 42 da Palo Alto Networks disse ao The Hacker News anteriormente em junho de 2023 que vários atores de ameaça estão "adicionando-o ao seu arsenal" e que "usar o kit de phishing 0ktapus sozinho não classifica necessariamente um ator de ameaça" como Muddled Libra.
Também disse que não conseguiu encontrar dados suficientes sobre direcionamento, persistência ou objetivos para confirmar uma ligação entre o ator e um grupo não categorizado que o Mandiant, de propriedade do Google, rastreia como UNC3944, que também é conhecido por empregar artesanato semelhante.
"Scattered Spider tem sido amplamente observado mirando organizações de telecomunicações e terceirização de processos de negócios (BPO)", disse o pesquisador da Trellix, Phelix Oluoch, em uma análise publicada no mês passado.
"No entanto, a atividade recente indica que esse grupo começou a mirar outros setores, incluindo organizações de infraestrutura crítica."
No último conjunto de ataques, diz-se que os atores de ameaça já estão de posse de senhas pertencentes a contas de usuário privilegiadas ou "ser capaz de manipular o fluxo de autenticação delegada via Active Directory (AD)" antes de ligar para a mesa de ajuda de TI da empresa alvo para solicitar uma redefinição de todos os fatores MFA associados à conta.
Acesso às contas de Super Administrador é subsequentemente usado para atribuir privilégios mais altos a outras contas, redefinir autenticadores inscritos em contas de administrador existentes e até mesmo remover requisitos de segundo fator das políticas de autenticação em alguns casos.
"O ator da ameaça foi observado configurando um segundo provedor de identidade para atuar como um 'aplicativo de personificação' para acessar aplicativos dentro da organização comprometida em nome de outros usuários", disse a Okta.
"Este segundo provedor de identidade, também controlado pelo atacante, atuaria como um 'provedor de identidade de origem' em uma relação de federação de entrada (às vezes chamada de 'Org2Org') com o alvo."
"Deste 'provedor de origem', o ator da ameaça manipulou o parâmetro de nome de usuário para usuários alvo no segundo provedor de identidade de 'origem' para corresponder a um usuário real no comprometido provedor de identidade de 'alvo'.
Isso proporcionou a capacidade de fazer login único (SSO) em aplicativos no provedor de identidade de destino como o usuário alvo."
Como contramedidas, a empresa está recomendando que os clientes reforcem a autenticação resistente a phishing, fortaleçam os processos de verificação de identidade da mesa de ajuda, ativem notificações de nova atividade suspeita e dispositivo do usuário final, e revisem e limitem o uso de funções de Super Administrador.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...