ShinyHunters利用Okta身份盗窃手段攻击约100家企业

据研究人员和犯罪组织自身透露，ShinyHunters在其最新的Okta单点登录凭证窃取活动中，已将约100家组织列为攻击目标。

Silent Push研究人员在周一的报告中表示，这次身份盗窃行动将目标瞄准了100多个"高价值企业"的Okta SSO账户。网络威胁猎人还列出了所有在过去30天内"检测到针对其域名的主动攻击或基础设施准备"的公司。

受影响的技术和软件公司包括Atlassian、AppLovin、Canva、Epic Games、Genesys、HubSpot、Iron Mountain、RingCentral和ZoomInfo等，涉及多个行业领域。

需要明确的是，这并不意味着这些公司已经遭到入侵。Silent Push高级威胁研究员Zach Edwards表示："我们没有关于任何具体攻击的情报可以分享，也无法确认是否有任何攻击成功。我们确实认为在公开博客中列出的组织已成为攻击目标。"

ShinyHunters没有确认使用Okta SSO凭证入侵了多少家公司，也没有说明在此次活动中有多少家公司被定为目标，但确实告诉记者，100这个数字"很接近"实际情况。

谷歌Mandiant团队也在周一确认，正在"跟踪一个新的、正在进行的ShinyHunters品牌活动"。该团队使用"进化的"语音钓鱼技术来"窃取受害组织的SSO凭证，并将威胁行为者控制的设备注册到受害者的多因素认证解决方案中"，Mandiant咨询首席技术官Charles Carmakal表示。

"这是一个活跃且持续进行的活动。在获得初始访问权限后，这些行为者会转向SaaS环境来窃取敏感数据，"他继续说道。"一个自称ShinyHunters的行为者已经向一些受害组织提出了勒索要求。"

Carmakal补充说，虽然这些身份攻击不是由产品或基础设施的安全漏洞引起的，但Mandiant"强烈"建议组织使用抗钓鱼的多因素认证，如FIDO2安全密钥或通行密钥。

"这些保护措施在抵抗社会工程攻击方面比推送式或短信认证更有效，"他说。"管理员还应该实施严格的应用授权政策，并监控日志以发现异常的API活动或未经授权的设备注册。"

ShinyHunters的最新活动在上周曝光，此前Okta发出了关于犯罪分子通过语音钓鱼获取SSO凭证并利用这些凭证攻击组织账户的警报。

上周五，ShinyHunters告诉记者他们是这次活动的幕后黑手，并声称通过语音钓鱼获取Crunchbase和Betterment的Okta单点登录代码，从而获得了访问权限。犯罪分子还泄露了他们声称属于Betterment的2000多万条记录和属于Crunchbase的200万条记录。

Q&A

Q1：ShinyHunters的Okta攻击活动是什么？

A：ShinyHunters发起了一个针对约100家高价值企业的身份盗窃活动，通过语音钓鱼技术窃取Okta单点登录凭证，然后利用这些凭证访问组织的SaaS环境并窃取敏感数据。

Q2：哪些知名公司受到了ShinyHunters的攻击威胁？

A：受到攻击威胁的公司包括Atlassian、AppLovin、Canva、Epic Games、Genesys、HubSpot、Iron Mountain、RingCentral和ZoomInfo等技术和软件企业，但这不意味着这些公司已经被成功入侵。

Q3：如何防范类似的Okta身份盗窃攻击？

A：专家建议使用抗钓鱼的多因素认证方式，如FIDO2安全密钥或通行密钥，因为这些保护措施比推送式或短信认证更能抵抗社会工程攻击。管理员还应实施严格的应用授权政策并监控异常活动。