攻击者从钓鱼转向针对Okta入侵的社会工程学

执行摘要

威胁行为者正从传统的网络钓鱼转向直接的、基于电话的社会工程攻击，目标是IT帮助台，主要目的是破坏Okta身份和访问管理（IAM）系统。这种技术通常被称为“MFA疲劳”或“vishing”，它绕过了电子邮件安全控制，并利用人类信任重置多因素认证（MFA）或获得特权凭据。成功的攻击为对手提供了对企业网络的初始访问权限，使他们能够在合法用户身份的掩护下进行横向移动和数据盗窃。

技术分析

攻击链始于侦察，以识别目标员工，通常是IT或财务角色中具有较高权限的员工。然后，攻击者通过电话联系组织的IT帮助台，冒充员工。他们通常声称自己的账户被锁定或丢失了MFA设备。技术目标是说服帮助台代理为被破坏的账户执行密码重置或MFA重新注册，将控制权交给攻击者。 一旦攻击者获得了标准用户账户的控制权，他们就会利用Okta的内部管理工具和权限来提升权限。源材料中没有详细说明Okta内部权限提升的具体方法，但可能涉及滥用合法功能，如分配管理角色或修改认证策略，如果初始账户具有足够权限，或者攻击者可以进一步进行社会工程以获得更多访问权限。被破坏的Okta租户随后作为访问一系列连接的企业应用程序的集中发射台，包括云电子邮件、文件存储和内部系统。

入侵指标

目前未识别出任何入侵指标。

战术、技术与程序

在这次活动中观察到的主要TTPs与MITRE ATT&CK框架一致。对于初始访问，攻击者使用T1589.001: 收集受害者身份信息（侦察）然后通过语音渠道（vishing）进行T1656: 伪装和T1660: 网络钓鱼以获取信息。核心技术是T1586.002: 破坏账户：电子邮件账户，通过操纵帮助台实现。一旦进入内部，他们可能会使用T1078.004: 有效账户：云账户来维持持久性，并在Okta环境中进行T1068: 利用权限提升，尽管具体的利用机制没有具体说明。这次攻击清楚地表明了从T1566: 网络钓鱼到更直接、基于人际互动的方法的转变。

威胁行为者背景

源材料没有将这一活动归因于特定的命名威胁行为者或高级持续性威胁（APT）组织。所描述的战术具有广泛的适用性，已被财务驱动的网络犯罪分子和国家支持的行为者采纳。社会工程帮助台人员的简单性和高成功率使其成为各种对手的低成本、高回报方法。特别关注Okta表明，攻击者正在针对现代企业中常见的集中身份层，认识到它是一个高价值资产，可以访问众多下游资源。

缓解措施与建议

组织应实施针对人员、流程和技术的分层防御。从技术上讲，为所有用户强制执行抗网络钓鱼的MFA（例如，FIDO2安全密钥），特别是管理员，以减少凭证盗窃的影响。实施严格的条件访问策略，要求设备合规性和敏感操作的可信网络位置。 从程序上讲，强制执行所有帮助台身份重置的强大验证。这应包括回拨验证到已知的、经过经理验证的号码，并使用预先建立的共享秘密或票据系统——永远不要仅依赖于来电者提供的信息。为帮助台和IT支持人员进行定期、现实的社会工程培训。 最后，加强对Okta审计日志的监控，以发现异常事件，如MFA重置、密码更改或从不寻常的地理位置或新设备的角色分配，并将这些日志集成到安全信息和事件管理（SIEM）系统中，以进行相关性和警报。