Компания Okta, являющаяся крупным поставщиком систем управления доступом и идентификацией, предупредила, что специалисты служб ИТ-поддержки в США подвергаются атакам. Хакеры вынуждают их сбросить многофакторную аутентификацию для пользователей с высокими привилегиями.
Если атака удалась, злоумышленники использовали привилегированные учетные записи супер-администраторов Okta, чтобы выдать себя за пользователей взломанной организации, задействуя анонимизирующие прокси, новый IP-адрес и новое устройство.
Хакеры использовали полученный доступ для повышения привилегий других учетных записей, сброса аутентификаторов, а также удаляли защиту двухфакторной аутентификации (2ФА) для некоторых аккаунтов.
По данным Okta, эта кампания была активна в период с 29 июля по 19 августа 2023 года.
Подчеркивается, что перед звонком в техподдержку целевой организации злоумышленники либо уже знали пароли от привилегированных учетных записей, либо могли подделать аутентификацию через Active Directory (AD).
Используя этот «исходный» IdP, хакеры изменяли имена пользователей, чтобы те соответствовали реальным пользователям скомпрометированного целевого IdP. Это позволило злоумышленникам выдать себя за целевого пользователя и получить доступ к приложениям с использованием механизма Single-Sign-On (SSO).
В качестве мер противодействия таким атакам Okta рекомендует клиентам внедрять устойчивую к фишингу аутентификацию, усилить процесс проверки личности пользователя в службе поддержки, включить уведомления о новых устройствах и подозрительной активности конечных пользователей, а также пересмотреть и ограничить использование ролей супер-администратора.
Если атака удалась, злоумышленники использовали привилегированные учетные записи супер-администраторов Okta, чтобы выдать себя за пользователей взломанной организации, задействуя анонимизирующие прокси, новый IP-адрес и новое устройство.
Хакеры использовали полученный доступ для повышения привилегий других учетных записей, сброса аутентификаторов, а также удаляли защиту двухфакторной аутентификации (2ФА) для некоторых аккаунтов.
По данным Okta, эта кампания была активна в период с 29 июля по 19 августа 2023 года.
Подчеркивается, что перед звонком в техподдержку целевой организации злоумышленники либо уже знали пароли от привилегированных учетных записей, либо могли подделать аутентификацию через Active Directory (AD).
Используя этот «исходный» IdP, хакеры изменяли имена пользователей, чтобы те соответствовали реальным пользователям скомпрометированного целевого IdP. Это позволило злоумышленникам выдать себя за целевого пользователя и получить доступ к приложениям с использованием механизма Single-Sign-On (SSO).
В качестве мер противодействия таким атакам Okta рекомендует клиентам внедрять устойчивую к фишингу аутентификацию, усилить процесс проверки личности пользователя в службе поддержки, включить уведомления о новых устройствах и подозрительной активности конечных пользователей, а также пересмотреть и ограничить использование ролей супер-администратора.
