Kimlik ve Erişim Yönetimi Şirketi Okta, ABD merkezli müşterilerdeki BT hizmet masası aracılarını hedefleyen sosyal mühendislik saldırıları hakkında bir uyarı yayınladı.
Saldırganların hedefi, kullanıcıların uzlaşmış kuruluştan taklit edilmesine izin veren kimlik Federasyonu özelliklerine erişmek ve kötüye kullanmak için son derece ayrıcalıklı Okta Süper Yönetici hesaplarını ele geçirmekti.
OKTA, 29 Temmuz ile 19 Ağustos arasında gözlenen saldırılardan ödün verilen göstergeler sağladı.
Şirket, bir hedef kuruluşun BT hizmet masasını aramadan önce, saldırganın ya ayrıcalıklı hesaplar için şifreleri olduğunu veya Active Directory'den (AD) kimlik doğrulama akışını kurcalayabildiğini söylüyor.
Süper Yönetici hesabından başarılı bir uzlaştıktan sonra, tehdit oyuncusu proxy hizmetlerini, yeni bir IP adresi ve yeni bir cihazı anonimleştirdi.
Bilgisayar korsanları, yönetici erişimlerini diğer hesaplar için yüksek ayrıcalıkları, kayıtlı kimlik doğrulayıcıları sıfırlamak için kullandılar ve ayrıca bazı hesaplar için iki faktörlü kimlik doğrulama (2FA) korumasını kaldırdılar.
"Tehdit oyuncusu, diğer kullanıcılar adına tehlikeye atılan kuruluş içindeki uygulamalara erişmek için ikinci bir kimlik sağlayıcısının" kimliğe bürünme uygulaması "olarak hareket etmesi için yapılandırıldı. Saldırgan tarafından da kontrol edilen bu ikinci kimlik sağlayıcısı“ kaynak ”olarak hareket edecektir. Hedefle birlikte gelen bir federasyon ilişkisinde (bazen “org2org” denir) IDP - Okta
Kaynak IDP'yi kullanarak, bilgisayar korsanları kullanıcı adlarını değiştirdi, böylece tehlikeye atılan hedef IDP'deki gerçek kullanıcılarla eşleşti. Bu, hedef kullanıcıyı taklit etmelerini ve tek imzalı (SSO) kimlik doğrulama mekanizmasını kullanarak uygulamalara erişim sağladı.
Yönetici hesaplarını harici aktörlerden korumak için OKTA, aşağıdaki güvenlik önlemlerini önerir:
OKTA'nın danışmanlığı, sistem günlüğü olayları ve saldırının çeşitli aşamalarında kötü niyetli etkinliğe işaret eden iş akışı şablonları gibi ek uzlaşma göstergelerini içerir. Şirket ayrıca 29 Haziran ile 19 Ağustos arasında gözlemlenen saldırılarla ilişkili bir dizi IP adresi sunmaktadır.
H/t @haboubianis
Jüpiter X Core WordPress eklentisi, bilgisayar korsanlarının Siteleri Kaçak'a İzin Verebilir
Lapsus $ genç hackerlar yüksek profilli siber saldırılardan hüküm giymiş
Google Workspace, iki yönetimin kritik değişikliklerde oturum açmasını gerektirecek
Devam eden ikili kesinti Azure kimlik doğrulama hatalarına neden olur
LinkedIn Hesapları Hackled Hack Kaçırma Kampanyası
Kaynak: Bleeping Computer