Phishing-Angriffe auf Twilio und Cloudflare

Die Phishing-Kampagne wurde von Group-IB-Forschern unter dem Codenamen 0ktapus geführt, da sie sich als ein beliebter Identitäts- und Zugangsverwaltungsdienst ausgab. Die überwiegende Mehrheit der Opfer befindet sich in den Vereinigten Staaten und viele von ihnen nutzen die Identitäts- und Zugriffsmanagementdienste von Okta.

Das Group-IB Threat Intelligence-Team hat die Phishing-Infrastruktur der Angreifer aufgedeckt und analysiert, einschließlich der Phishing-Domänen, des Phishing-Kits sowie des Telegram-Kanals, der von den Bedrohungsakteuren kontrolliert wird, um die kompromittierten Informationen zu versenden. Alle von den Group-IB-Forschern identifizierten Opferorganisationen wurden benachrichtigt und mit einer Liste der kompromittierten Konten versorgt. Die Erkenntnisse über die mutmaßliche Identität des Bedrohungsakteurs wurden an die internationalen Strafverfolgungsbehörden weitergegeben.

Zufall oder Absicht?

Am 26. Juli 2022 erhielt das Group-IB-Team eine Anfrage von seinem Threat-Intelligence-Kunden mit der Bitte um zusätzliche Informationen zu einem kürzlich erfolgten Phishing-Versuch, der sich gegen seine Mitarbeiter richtete. Die Untersuchung ergab, dass diese Phishing-Angriffe sowie die Vorfälle bei Twilio und Cloudflare Glieder einer Kette waren – einer einfachen, aber sehr effektiven Phishing-Kampagne, die in ihrem Umfang und ihrer Reichweite beispiellos ist und mindestens seit März 2022 aktiv war. Wie die Enthüllungen von Signal zeigen, waren die Angreifer, sobald sie ein Unternehmen kompromittiert hatten, schnell in der Lage, sich umzuorientieren und weitere Angriffe auf die Lieferkette zu starten.

Während die Angreifer bei ihren Angriffen möglicherweise Glück hatten, ist es viel wahrscheinlicher, dass sie ihre Phishing-Kampagne sorgfältig geplant haben, um ausgeklügelte Angriffe auf die Lieferkette zu starten. Es ist noch nicht klar, ob die Angriffe von Anfang bis Ende geplant waren oder ob in jeder Phase opportunistische Aktionen durchgeführt wurden. Unabhängig davon war die 0ktapus-Kampagne unglaublich erfolgreich, und das volle Ausmaß wird wohl erst in einiger Zeit bekannt sein.

Das Hauptziel der Bedrohungsakteure war es, Okta-Identitätsdaten und Codes für die Zwei-Faktor-Authentifizierung (2FA) von Benutzern der anvisierten Organisationen zu erhalten. Diese Nutzer erhielten Textnachrichten mit Links zu Phishing-Seiten, die die Okta-Authentifizierungsseite ihrer Organisation imitierten.

Es ist noch nicht bekannt, wie die Betrüger ihre Zielliste erstellt haben und wie sie an die Telefonnummern gelangt sind. Den von Group-IB analysierten kompromittierten Daten zufolge begannen die Bedrohungsakteure ihre Angriffe jedoch bei Mobilfunkbetreibern und Telekommunikationsunternehmen und könnten die Nummern bei diesen ersten Angriffen gesammelt haben.

Der große Coup

Die Forscher von Group-IB entdeckten 169 einzigartige Phishing-Domänen, die an der 0ktapus-Kampagne beteiligt waren. Die Domänen verwendeten Schlüsselwörter wie „SSO“, „VPN“, „OKTA“, „MFA“ und „HELP“. Aus der Sicht des Opfers sieht die Phishing-Website überzeugend aus, da sie der legitimen Authentifizierungsseite, die es gewohnt ist, sehr ähnlich ist.

Bei der Analyse der Phishing-Seiten stellten die Spezialisten der Group-IB fest, dass sie mit demselben Phishing-Kit erstellt wurden, das sie in der Vergangenheit noch nicht gesehen haben. Eine weitere Untersuchung des Codes des Phishing-Kits zeigte die Zeilen, die der Konfiguration des Telegram-Bots gewidmet sind, sowie den Kanal, den die Angreifer zur Übermittlung der kompromittierten Daten nutzen.

Mithilfe ihres Threat Intelligence-Systems konnten die Forscher von Group-IB die kompromittierten Datensätze analysieren, die die Angreifer seit März 2022 erlangt hatten. Das Group-IB-Team fand heraus, dass es den Bedrohungsakteuren gelang, 9.931 Benutzerdaten zu stehlen, darunter 3.129 Datensätze mit E-Mails und 5.441 Datensätze mit MFA-Codes. Da zwei Drittel der Daten keine Unternehmens-E-Mails, sondern nur Benutzernamen und 2FA-Codes enthielten, konnten die Group-IB-Forscher nur die Wohnsitzregion der Opfer ermitteln.

Von den 136 Opferorganisationen, die Group-IB identifizieren konnte, befinden sich 114 Unternehmen in den USA. Diese Liste enthält auch Unternehmen, die ihren Hauptsitz in anderen Ländern haben, deren Angestellte aber in den USA arbeiten und die Opfer waren. Die meisten Unternehmen auf der Liste der Opfer bieten IT-, Softwareentwicklungs- und Cloud-Dienste an.

Ausgehend von den jüngsten Nachrichten über gekaperte Signal-Konten könnten Cyberkriminelle versuchen, Zugang zu privaten Gesprächen und Daten zu erhalten. Solche Informationen können an Konkurrenten des Opfers weiterverkauft oder einfach zur Erpressung eines Opfers verwendet werden.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

16 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

17 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

24 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago