身份服務(wù)提供商Okta上周五（9月1日）警告稱，有威脅行為者針對該公司進(jìn)行了一次社會工程攻擊獲得了管理員權(quán)限。

該公司表示：最近幾周，多家美國Okta客戶報告了多個針對IT服務(wù)人員的社會工程攻擊。這些威脅行為者會打電話給服務(wù)臺人員，然后要求重置高權(quán)限用戶注冊的所有多因素身份驗(yàn)證（MFA）因子，從而開始濫用Okta超級管理員帳戶的最高權(quán)限來冒充受感染組織內(nèi)的用戶。該公司表示，這些活動發(fā)生在2023年7月29日至8月19日之間。

雖然Okta沒有透露威脅參與者的身份，但其使用的攻擊戰(zhàn)術(shù)符合名為“Muddled Libra”的活動集群的所有特征，據(jù)說它與“Scattered Spider”和“Scatter Swine”也有一定的關(guān)聯(lián)。

這些攻擊的核心是一個名為 0ktapus 的商業(yè)網(wǎng)絡(luò)釣魚工具包，它提供預(yù)制模板來創(chuàng)建更為逼真的虛假身份驗(yàn)證門戶，并最終獲取憑證和多因素身份驗(yàn)證（MFA）代碼。它還通過Telegram整合了一個內(nèi)置的命令與控制 (C2) 通道。

Palo Alto Networks 的第42部門曾在 2023 年 6 月告訴《The Hacker News》，有多個威脅行為體正在 "將其添加到自己的武器庫中"，而且 "僅使用 0ktapus 釣魚工具包并不一定能將威脅行為體歸類為 "Muddled Libra"。

該公司還表示，它無法找到足夠的關(guān)于目標(biāo)定位、持續(xù)性或目的的數(shù)據(jù)，以確認(rèn)該行為體與谷歌旗下的 Mandiant 追蹤的一個未分類組織 UNC3944 之間的聯(lián)系。據(jù)悉，該組織也采用類似的手法。

Trellix 研究員 Phelix Oluoch 在上個月發(fā)布的一份分析報告中指出：Scattered Spider 主要針對電信和業(yè)務(wù)流程外包（BPO）組織。然而，最近的活動表明這個組織已經(jīng)開始瞄準(zhǔn)其他行業(yè)，包括關(guān)鍵基礎(chǔ)設(shè)施組織。

在最新的一組攻擊中，威脅分子已經(jīng)掌握了屬于特權(quán)用戶賬戶的密碼，或者 "能夠通過活動目錄（AD）操縱委托身份驗(yàn)證流"，然后再致電目標(biāo)公司的 IT 服務(wù)臺，要求重置與賬戶相關(guān)的所有 MFA 因子。

超級管理員賬戶的訪問權(quán)限隨后被用來為其他賬戶分配更高的權(quán)限，重置現(xiàn)有管理員賬戶中的注冊驗(yàn)證器，甚至在某些情況下從驗(yàn)證策略中移除第二要素要求。

Okta表示：據(jù)觀察，威脅行為者已經(jīng)配置了第二個身份提供程序，以作為'冒充的應(yīng)用程序'，代表其他用戶訪問被入侵組織內(nèi)的應(yīng)用程序。"這第二個身份提供商也由攻擊者控制，將在與目標(biāo)的入站聯(lián)盟關(guān)系（有時稱為'Org2Org'）中充當(dāng)'源'IdP"。

通過這個'源'IdP，威脅者操縱了第二個'源'身份提供商中目標(biāo)用戶的用戶名參數(shù)，使其與被攻擊的'目標(biāo)'身份提供商中的真實(shí)用戶相匹配。這就提供了以目標(biāo)用戶身份單點(diǎn)登錄（SSO）目標(biāo)身份提供商應(yīng)用程序的能力。

該公司建議客戶執(zhí)行防網(wǎng)絡(luò)釣魚身份驗(yàn)證，加強(qiáng)服務(wù)臺身份驗(yàn)證流程，啟用新設(shè)備和可疑活動通知，并審查和限制超級管理員角色的使用，從而更好的應(yīng)對此類攻擊。