فیشرهایی که به Twilio و Cloudflare ضربه زدند، 10 هزار اعتبار از 136 نفر دیگر سرقت کردند.


این قطعا یک ماوس Razer نیست - اما شما این ایده را دریافت می کنید.
بزرگنمایی کنید / این قطعا یک ماوس Razer نیست – اما شما این ایده را دریافت می کنید.

دو هفته پیش، Twilio و Cloudflare یک حمله فیشینگ را به قدری روشمند و منظم شرح دادند که کارمندان هر دو شرکت را فریب داد تا اعتبار حساب خود را فاش کنند. در مورد Twilio، این حمله حفاظت 2FA آن را تحت تأثیر قرار داد و به عوامل تهدید اجازه دسترسی به سیستم‌های داخلی آن را داد. اکنون، محققان شواهدی را کشف کرده‌اند که نشان می‌دهد این حملات بخشی از یک کمپین عظیم فیشینگ بوده است که تقریباً 10000 اعتبار حساب متعلق به 130 سازمان را به دست آورده است.

بر اساس افشاگری های ارائه شده توسط Twilio و Cloudflare، از قبل مشخص بود که حملات فیشینگ با دقت و برنامه ریزی تقریباً جراحی انجام شده است. بازیگر تهدید به نوعی شماره تلفن خصوصی کارمندان و در برخی موارد اعضای خانواده آنها را به دست آورده بود. مهاجمان سپس پیام‌های متنی ارسال کردند که در آن از کارمندان می‌خواستند به صفحه تأیید اعتبار قانونی کارفرمایان خود وارد شوند.

در 40 دقیقه، 76 کارمند Cloudflare پیام متنی را دریافت کردند، که شامل نام دامنه ای بود که فقط 40 دقیقه قبل ثبت شده بود، و مانع از تدابیر امنیتی شرکت برای شناسایی سایت هایی شد که نام آن را جعل می کنند. فیشرها همچنین از یک سایت پراکسی برای انجام هک در زمان واقعی استفاده کردند، روشی که به آنها اجازه می داد گذرواژه های یکبار مصرف Twilio را در تأییدیه های 2FA خود دریافت کرده و آنها را در سایت واقعی وارد کنند. تقریباً بلافاصله، بازیگر تهدید از دسترسی خود به شبکه Twilio برای به دست آوردن شماره تلفن های متعلق به 1900 کاربر پیام رسان سیگنال استفاده کرد.

مقیاس و دسترسی بی سابقه

یک شرکت امنیتی Group-IB گزارشی را که روز پنجشنبه منتشر کرد، گفت که تحقیقاتی که از طرف یک مشتری انجام داده، کمپین بسیار بزرگ‌تری را نشان می‌دهد. این برنامه که “0ktapus” نام دارد، در شش ماه گذشته از همان تکنیک ها برای هدف قرار دادن 130 سازمان و فیش موفقیت آمیز 9931 اعتبار استفاده کرده است. عامل تهدید پشت این حملات کمتر از 169 دامنه اینترنتی منحصر به فرد را برای به دام انداختن اهداف خود جمع آوری کرد. سایت‌هایی که شامل کلمات کلیدی مانند «SSO»، «VPN»، «MFA» و «HELP» در نام دامنه‌شان بودند، همگی با استفاده از همان کیت فیشینگ ناشناخته قبلی ایجاد شدند.

حتما بخوانید:
کرم ضد لک قوی صورت سافتوپلاس بهترین کرم روشن کننده پوست صورت

“تحقیقات نشان داد که این حملات فیشینگ و همچنین حوادث در Twilio و Cloudflare حلقه‌هایی در یک زنجیره هستند – یک کمپین ساده و در عین حال بسیار مؤثر فیشینگ تکی که در مقیاس و گستردگی بی‌سابقه است که حداقل از مارس 2022 فعال بوده است.” محققان نوشتند. همانطور که افشای سیگنال نشان داد، هنگامی که مهاجمان یک سازمان را به خطر انداختند، به سرعت توانستند حملات زنجیره تامین بعدی را تغییر دهند و راه اندازی کنند.

آنها ادامه دادند:

در حالی که عوامل تهدید ممکن است در حملات خود خوش شانس بوده باشند، به احتمال زیاد آنها کمپین فیشینگ خود را با دقت برای راه اندازی حملات زنجیره تامین پیچیده برنامه ریزی کرده اند. هنوز مشخص نیست که آیا این حملات از پیش برنامه ریزی شده بود یا اینکه اقدامات فرصت طلبانه در هر مرحله انجام شده است. صرف نظر از این، کمپین 0ktapus فوق العاده موفق بوده است و ممکن است برای مدتی مقیاس کامل آن مشخص نباشد.

Group-IB هیچ یک از شرکت‌های در معرض خطر را شناسایی نکرد، به جز اینکه گفت که حداقل 114 مورد از آنها در ایالات متحده واقع شده یا حضور دارند. بیشتر اهداف، فناوری اطلاعات، توسعه نرم افزار و خدمات ابری را ارائه می دهند. اوکتا روز پنجشنبه در پستی فاش کرد که در میان قربانیان بوده است.

کیت فیشینگ محققین را به یک کانال تلگرامی هدایت کرد که عاملان تهدید از آن برای دور زدن حفاظت‌های 2FA که متکی به رمزهای عبور یکبار مصرف هستند استفاده کردند. هنگامی که یک هدف یک نام کاربری و رمز عبور را در سایت جعلی وارد می کرد، آن اطلاعات بلافاصله از طریق کانال به عامل تهدید منتقل می شد و سپس آن را در سایت واقعی وارد می کرد. سپس سایت جعلی به هدف دستور می دهد تا کد احراز هویت یکبار مصرف را وارد کند. هنگامی که هدف مطابقت داشت، کد برای مهاجم ارسال می‌شد و به مهاجم اجازه می‌داد تا قبل از منقضی شدن کد، آن را وارد سایت واقعی کند.

حتما بخوانید:
باربری اثاث کشی بلوار تعاون

تحقیقات Group-IB جزئیاتی را در مورد یکی از مدیران کانال که از دسته X استفاده می‌کند فاش کرد. پس از آن به حساب توییتر و GitHub منجر شد که محققان معتقدند متعلق به همان شخص است. به نظر می رسد یک نمایه کاربر نشان می دهد که فرد در کارولینای شمالی زندگی می کند.

علیرغم این لغزش احتمالی، این کمپین قبلاً یکی از به خوبی اجرا شده بود. به گفته Group-IB، این واقعیت که این در مقیاس بیش از شش ماه انجام شد، آن را بسیار قدرتمندتر می کند.

در پایان گزارش روز پنجشنبه آمده است: «روش‌هایی که این بازیگر تهدید استفاده می‌کند، خاص نیست، اما برنامه‌ریزی و نحوه چرخش آن از یک شرکت به شرکت دیگر، کمپین را ارزشمند می‌کند.» 0ktapus نشان می‌دهد که سازمان‌های مدرن تا چه اندازه در برابر برخی از حملات مهندسی اجتماعی اولیه آسیب‌پذیر هستند و تأثیرات چنین حوادثی تا چه حد می‌تواند برای شرکا و مشتریان آن‌ها باشد.


منبع: tarjome-news.ir

دیدگاهتان را بنویسید

hacklink al hd film izle php shell indir siber güvenlik türkçe anime izle Fethiye Escort android rat duşakabin fiyatları fud crypter hack forum instagram beğeni bayan escort - vip elit escort https://www.fivesosyalmedya.com/garnet trade güvenilir mihtml nullednulled themesMobil Ödeme BozdurmaMobil Ödeme BozdurmaViagraMobil Ödeme BozdurmaMobil Ödeme BozdurmaVodafone Mobil Ödeme Bozdurma