Okta 提醒：社工攻击正在瞄准超级管理员权限

该公司提到，“近几周，Okta 的多家美国客户发现针对IT服务台人员的一致的社工攻击，呼叫者的策略是说服服务台人员重置由高权限用户提供的所有多因素认证 (MFA) 因素。”之后，攻击者滥用高权限的 Okta 超级管理员账户模拟受陷组织机构中的用户。Okta 公司指出，该活动发生在2023年7月29日至8月19日期间。

虽然 Okta 公司并未披露攻击者的身份，但所使用技术与 Muddled Libra 组织非常相似，该组织据称与 Scattered Spider 和 Scatter Swine 之间存在某种重合之处。

这些攻击中最重要的是一款商用钓鱼工具包 0ktapus，通过预制模板创建现实的虚假认证门户，最终收割凭据和MFA 代码。它还通过 Telegram 集成内置C2。

Palo Alto Networks Unit 42 在2023年6月指出，多名威胁行动者“正将其纳入武器库”并且“仅使用 0ktapus 钓鱼包不一定能将威胁组织”判定为 Muddled Libra。另外，无法找到关于目标、持久性或目的相关数据来表明威胁行动者和Mandiant 命名为 UNC3944的组织之间存在关联。后者被指利用了类似的技术。

Trellix 公司的研究员 Phelix Oluoch 在上个月的分析报告中提到，“Scattered Spider 已对电信和业务流程外包组织机构发动攻击。然而，近期活动表明该组织已开始攻击其它行业，如关基组织机构等。”在最新的攻击活动中，据称攻击者已拥有属于权限用户账户的密码，或“能够通过活动目录操纵被指定的认证流”，之后呼叫目标企业的IT帮助台要求重置该账户所关联的所有MFA因素。

随后，超级管理员账户的权限被用于将更高权限分配给其它账户，重置已有管理员权限中的认证者，而在某些情况下甚至删除认证策略中的第二因素要求。

Okta 公司提到，“威胁行动者配置第二身份提供者作为‘模拟app’，以其它用户身份来访问受陷组织机构的应用。该第二身份提供者也由攻击者控制，将作为与目标入站联合关系（有时被称为 Org2Org）中的 ‘源’ IdP。攻击者通过该‘源’ IdP，操纵第二个’源’身份提供者中所使用目标用户的用户名参数，以匹配受陷‘目标’身份提供商中的真实用户。这就使得攻击者以目标用户身份单点登录到目标 IdP 中的应用程序。”

Okta 公司提到，作为缓解措施，客户可执行反钓鱼认证机制，增强帮助台身份验证流程，启用新的设备和可疑活动终端用户通知，并审计和限制对超级管理员角色的使用。

    觉得不错，就点个 “在看” 或 "赞” 吧~