Phishing-Angriffe auf Twilio und Cloudflare

Die Phishing-Kampagne wurde von Group-IB-Forschern unter dem Codenamen 0ktapus geführt, da sie sich als ein beliebter Identitäts- und Zugangsverwaltungsdienst ausgab. Die überwiegende Mehrheit der Opfer befindet sich in den Vereinigten Staaten und viele von ihnen nutzen die Identitäts- und Zugriffsmanagementdienste von Okta.

Das Group-IB Threat Intelligence-Team hat die Phishing-Infrastruktur der Angreifer aufgedeckt und analysiert, einschließlich der Phishing-Domänen, des Phishing-Kits sowie des Telegram-Kanals, der von den Bedrohungsakteuren kontrolliert wird, um die kompromittierten Informationen zu versenden. Alle von den Group-IB-Forschern identifizierten Opferorganisationen wurden benachrichtigt und mit einer Liste der kompromittierten Konten versorgt. Die Erkenntnisse über die mutmaßliche Identität des Bedrohungsakteurs wurden an die internationalen Strafverfolgungsbehörden weitergegeben.

Zufall oder Absicht?

Am 26. Juli 2022 erhielt das Group-IB-Team eine Anfrage von seinem Threat-Intelligence-Kunden mit der Bitte um zusätzliche Informationen zu einem kürzlich erfolgten Phishing-Versuch, der sich gegen seine Mitarbeiter richtete. Die Untersuchung ergab, dass diese Phishing-Angriffe sowie die Vorfälle bei Twilio und Cloudflare Glieder einer Kette waren – einer einfachen, aber sehr effektiven Phishing-Kampagne, die in ihrem Umfang und ihrer Reichweite beispiellos ist und mindestens seit März 2022 aktiv war. Wie die Enthüllungen von Signal zeigen, waren die Angreifer, sobald sie ein Unternehmen kompromittiert hatten, schnell in der Lage, sich umzuorientieren und weitere Angriffe auf die Lieferkette zu starten.

Während die Angreifer bei ihren Angriffen möglicherweise Glück hatten, ist es viel wahrscheinlicher, dass sie ihre Phishing-Kampagne sorgfältig geplant haben, um ausgeklügelte Angriffe auf die Lieferkette zu starten. Es ist noch nicht klar, ob die Angriffe von Anfang bis Ende geplant waren oder ob in jeder Phase opportunistische Aktionen durchgeführt wurden. Unabhängig davon war die 0ktapus-Kampagne unglaublich erfolgreich, und das volle Ausmaß wird wohl erst in einiger Zeit bekannt sein.

Das Hauptziel der Bedrohungsakteure war es, Okta-Identitätsdaten und Codes für die Zwei-Faktor-Authentifizierung (2FA) von Benutzern der anvisierten Organisationen zu erhalten. Diese Nutzer erhielten Textnachrichten mit Links zu Phishing-Seiten, die die Okta-Authentifizierungsseite ihrer Organisation imitierten.

Es ist noch nicht bekannt, wie die Betrüger ihre Zielliste erstellt haben und wie sie an die Telefonnummern gelangt sind. Den von Group-IB analysierten kompromittierten Daten zufolge begannen die Bedrohungsakteure ihre Angriffe jedoch bei Mobilfunkbetreibern und Telekommunikationsunternehmen und könnten die Nummern bei diesen ersten Angriffen gesammelt haben.

Der große Coup

Die Forscher von Group-IB entdeckten 169 einzigartige Phishing-Domänen, die an der 0ktapus-Kampagne beteiligt waren. Die Domänen verwendeten Schlüsselwörter wie „SSO“, „VPN“, „OKTA“, „MFA“ und „HELP“. Aus der Sicht des Opfers sieht die Phishing-Website überzeugend aus, da sie der legitimen Authentifizierungsseite, die es gewohnt ist, sehr ähnlich ist.

Bei der Analyse der Phishing-Seiten stellten die Spezialisten der Group-IB fest, dass sie mit demselben Phishing-Kit erstellt wurden, das sie in der Vergangenheit noch nicht gesehen haben. Eine weitere Untersuchung des Codes des Phishing-Kits zeigte die Zeilen, die der Konfiguration des Telegram-Bots gewidmet sind, sowie den Kanal, den die Angreifer zur Übermittlung der kompromittierten Daten nutzen.

Mithilfe ihres Threat Intelligence-Systems konnten die Forscher von Group-IB die kompromittierten Datensätze analysieren, die die Angreifer seit März 2022 erlangt hatten. Das Group-IB-Team fand heraus, dass es den Bedrohungsakteuren gelang, 9.931 Benutzerdaten zu stehlen, darunter 3.129 Datensätze mit E-Mails und 5.441 Datensätze mit MFA-Codes. Da zwei Drittel der Daten keine Unternehmens-E-Mails, sondern nur Benutzernamen und 2FA-Codes enthielten, konnten die Group-IB-Forscher nur die Wohnsitzregion der Opfer ermitteln.

Von den 136 Opferorganisationen, die Group-IB identifizieren konnte, befinden sich 114 Unternehmen in den USA. Diese Liste enthält auch Unternehmen, die ihren Hauptsitz in anderen Ländern haben, deren Angestellte aber in den USA arbeiten und die Opfer waren. Die meisten Unternehmen auf der Liste der Opfer bieten IT-, Softwareentwicklungs- und Cloud-Dienste an.

Ausgehend von den jüngsten Nachrichten über gekaperte Signal-Konten könnten Cyberkriminelle versuchen, Zugang zu privaten Gesprächen und Daten zu erhalten. Solche Informationen können an Konkurrenten des Opfers weiterverkauft oder einfach zur Erpressung eines Opfers verwendet werden.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago