兩周前，Twilio 和 Cloudflare 披露了一場(chǎng)精心策劃的網(wǎng)絡(luò)釣魚攻擊，導(dǎo)致兩家公司員工的賬戶憑據(jù)被泄露。其中 Twilio 的兩步驗(yàn)證（2FA）系統(tǒng)被攻破，導(dǎo)致攻擊者能夠訪問其內(nèi)部系統(tǒng)?，F(xiàn)在，安全研究人員已找到這輪大規(guī)模網(wǎng)絡(luò)釣魚攻擊的幕后黑手，可知 130 個(gè)組織近 10000 個(gè)賬戶憑據(jù)受到了被竊取。

由 Twilio 和 Cloudflare 披露的細(xì)節(jié)可知，這輪網(wǎng)絡(luò)釣魚攻擊有著相當(dāng)于外科手術(shù)的精確度和執(zhí)行計(jì)劃。

首先，攻擊者通過不明渠道獲得了員工的私人電話號(hào)碼（某些情況下還套路到了其家人的號(hào)碼），然后通過發(fā)送短信來忽悠員工登錄精心偽造的身份驗(yàn)證頁面。

受害者遭遇的常規(guī)網(wǎng)絡(luò)釣魚套路（圖自：Group-IB）

40 分鐘內(nèi)，76 名 Cloudflare 員工陸續(xù)收到了釣魚短信 —— 其中包含一個(gè)在攻擊實(shí)施 40 分鐘前才注冊(cè)的域名，以繞過該公司對(duì)假冒威脅站點(diǎn)的黑名單防護(hù)策略。

緊接著，網(wǎng)絡(luò)釣魚攻擊者利用了代理站點(diǎn)來實(shí)時(shí)執(zhí)行劫持，并截獲了 Twilio 雙因素（2FA）身份驗(yàn)證用的一次性驗(yàn)證碼、并將之套用到了真實(shí)站點(diǎn)。

于是幾乎在同一時(shí)間，攻擊者利用其對(duì) Twilio 網(wǎng)絡(luò)的訪問權(quán)限、竊取了 Signal Messenger 約 1900 名用戶的電話號(hào)碼。

由 Group-IB 周四發(fā)布的安全報(bào)告可知，Twilio 被卷入了一場(chǎng)被稱作“0Ktapus”的更大規(guī)模的網(wǎng)絡(luò)釣魚攻擊事件。過去六個(gè)月時(shí)間里，同樣的套路導(dǎo)致 130 個(gè)組織的 9931 個(gè)憑據(jù)被泄露。

行業(yè)波及范圍

分析發(fā)現(xiàn)，為了引誘受害者上鉤，幕后攻擊者利用了至少 169 個(gè)獨(dú)特的互聯(lián)網(wǎng)域名 —— 常見包含單點(diǎn)登錄（SSO）、虛擬專用網(wǎng)、多因素認(rèn)證（MFA）、幫助（HELP）等關(guān)鍵詞。

為了充分利用既有的攻擊手段，幕后黑客選擇了通過此前未知的、但相同的網(wǎng)絡(luò)釣魚工具包來打造釣魚網(wǎng)站，且規(guī)模和范圍前所未有 —— 至少?gòu)?2022 年 3 月持續(xù)至今。

疑似昵稱“X”的管理員信息

Group-IB 研究人員補(bǔ)充道，正如 Signal 披露的那樣，一旦攻擊者成功侵入了一個(gè)組織，它們就能夠迅速轉(zhuǎn)向、并發(fā)起后續(xù)的一系列供應(yīng)鏈攻擊。

雖然沒有指出到底有哪些公司受到了影響，僅稱其中至少有 114 家位于美國(guó)、或在美設(shè)有分支機(jī)構(gòu)的企業(yè) —— 其中 IT、軟件開發(fā)和云服務(wù)公司成為了 0ktapus 釣魚攻擊的首要目標(biāo)。

安全研究人員推測(cè)攻擊者位于北卡羅來納州

周四的時(shí)候，Okta也在一篇帖子中透露了其為受害者之一。可知釣魚攻擊者會(huì)引誘受害者至 Telegram 頻道，以繞過基于一次性驗(yàn)證碼的 2FA 驗(yàn)證防護(hù)。

當(dāng)受害者在精心偽造的站點(diǎn)上輸入用戶名和密碼時(shí)，機(jī)密信息會(huì)即刻傳遞給攻擊者、并導(dǎo)致真實(shí)站點(diǎn)淪陷。

ArsTechnica 指出—— 此類事件的不斷上演，揭示了現(xiàn)代組織在面對(duì)手段并不高明的社會(huì)工程攻擊時(shí)的脆弱性、及其對(duì)合作伙伴與客戶能夠造成的深遠(yuǎn)影響。