ShinyHunters przyznają się do ataków na konta SSO. Ofiarami użytkownicy Okta, Microsoft i Google

Grupa ShinyHunters przyznała się do serii ataków telefonicznych, w których przejmowane są firmowe konta Single Sign-On.

ShinyHunters potwierdzili swój udział w kampanii vishingowej wymierzonej w użytkowników SSO opartych o Okta, Microsoft Entra oraz Google. Ataki polegają na podszywaniu się pod dział IT i telefonicznym nakłanianiu pracowników do logowania się na fałszywe strony oraz zatwierdzania kodów MFA w czasie rzeczywistym.

Po przejęciu konta SSO atakujący uzyskują dostęp do wszystkich powiązanych aplikacji widocznych w panelu logowania. W praktyce oznacza to możliwość kradzieży danych z takich usług jak Salesforce, Microsoft 365, Google Workspace, Slack czy Dropbox. Według ShinyHunters ich głównym celem pozostaje Salesforce, a pozostałe platformy są „beneficjentami” dostępu przez SSO.

Okta opublikowała raport opisujący używane w kampanii zaawansowane zestawy phishingowe, które umożliwiają dynamiczną zmianę treści strony phishingowej podczas rozmowy z ofiarą. Grupa ponownie uruchomiła także swoją stronę wycieków w sieci Tor, publikując informacje o naruszeniach m.in. SoundCloud, Betterment i Crunchbase.

Źródło:
Bleeping Computer

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps