- SLH prende di mira circa 100 aziende con attacchi vishing sulle credenziali SSO di Okta
- Un pannello di phishing live intercetta credenziali e token MFA in tempo reale
- Non ci sono ancora violazioni confermate, ma le sessioni Okta hackerate pongono rischi gravi
I famigerati attori della minaccia Scattered LAPSUS$ Hunters (SLH) sono attualmente impegnati in una massiccia campagna di furto d'identità che prende di mira le credenziali di single sign-on (SSO) di Okta presso circa 100 grandi imprese.
I ricercatori di sicurezza di Silent Push hanno scoperto che gli hacker stanno conducendo una sofisticata campagna di vishing (phishing vocale), volta a ottenere l'accesso alle infrastrutture aziendali per esfiltrare dati sensibili e successivamente estorcere denaro alle vittime.
I ricercatori hanno affermato che SLH utilizza un nuovo "Live Phishing Panel", che consente ai loro operatori di "posizionarsi al centro di una sessione di login, intercettando credenziali e token MFA in tempo reale". In altre parole, gli aggressori chiamano le vittime al telefono e le convincono ad accedere a un servizio, posizionandosi "nel mezzo" e intercettando i segreti che transitano.
Risultati sconosciuti
Silent Push afferma che circa 100 organizzazioni appartenenti a diversi settori sono attualmente nel mirino. L'elenco completo, consultabile nel loro report, include bersagli di alto profilo come Atlassian, Morningstar, American Water, GameStop e Telstra.
Tuttavia, essere nel mirino e subire una violazione sono due cose completamente diverse. Non vi è alcuna conferma che una delle aziende in elenco sia stata effettivamente colpita e, al momento della pubblicazione, non vi erano prove a riguardo.
Silent Push ha dichiarato a The Register di non avere "informazioni da condividere" su potenziali vittime, e gli SLH non hanno ancora aggiunto nessuno al loro sito di leak. Gli hacker hanno comunque confermato che il numero dei bersagli indicati era "vicino" alla realtà.
Secondo i ricercatori, il rischio della campagna è elevatissimo: una volta che una sessione Okta viene compromessa, l'attaccante ottiene una sorta di "passepartout" (o skeleton key) per ogni applicazione dell'ambiente aziendale. Ciò consente loro di estorcere dati sensibili, muoversi lateralmente nella rete e persino criptare i dati, se necessario.
"La formazione standard sulla sicurezza spesso non riesce a fermare questa minaccia specifica. Gli operatori di SLH sono estremamente persuasivi: chiamano frequentemente l'help desk e i dipendenti, manipolando simultaneamente una pagina di phishing live per farla combaciare esattamente con le richieste di login specifiche della vittima", hanno spiegato i ricercatori.