兩週前，Twilio 和Cloudflare 披露了一場精心策劃的網絡釣魚攻擊，導致兩家公司員工的賬戶憑據被洩露。其中Twilio 的兩步驗證（2FA）系統被攻破，導致攻擊者能夠訪問其內部系統。現在，安全研究人員已找到這輪大規模網絡釣魚攻擊的幕後黑手，可知130 個組織近10000 個賬戶憑據受到了被竊取。

由Twilio 和Cloudflare 披露的細節可知，這輪網絡釣魚攻擊有著相當於外科手術的精確度和執行計劃。

首先，攻擊者通過不明渠道獲得了員工的私人電話號碼（某些情況下還套路到了其家人的號碼），然後通過發送短信來忽悠員工登錄精心偽造的身份驗證頁面。

受害者遭遇的常規網絡釣魚套路（圖自：Group-IB）

40 分鐘內，76 名Cloudflare 員工陸續收到了釣魚短信—— 其中包含一個在攻擊實施40 分鐘前才註冊的域名，以繞過該公司對假冒威脅站點的黑名單防護策略。

緊接著，網絡釣魚攻擊者利用了代理站點來實時執行劫持，並截獲了Twilio 雙因素（2FA）身份驗證用的一次性驗證碼、並將之套用到了真實站點。

區域波及範圍

於是幾乎在同一時間，攻擊者利用其對Twilio 網絡的訪問權限、竊取了Signal Messenger 約1900 名用戶的電話號碼。

由Group-IB 週四發布的安全報告可知，Twilio 被捲入了一場被稱作“ 0Ktapus ”的更大規模的網絡釣魚攻擊事件。過去六個月時間裡，同樣的套路導致130 個組織的9931 個憑據被洩露。

行業波及範圍

分析發現，為了引誘受害者上鉤，幕後攻擊者利用了至少169 個獨特的互聯網域名—— 常見包含單點登錄（SSO）、虛擬專用網、多因素認證（MFA）、幫助（HELP）等關鍵詞。

為了充分利用既有的攻擊手段，幕後黑客選擇了通過此前未知的、但相同的網絡釣魚工具包來打造釣魚網站，且規模和範圍前所未有—— 至少從2022 年3 月持續至今。

疑似暱稱“X”的管理員信息

Group-IB 研究人員補充道，正如Signal 披露的那樣，一旦攻擊者成功侵入了一個組織，它們就能夠迅速轉向、並發起後續的一系列供應鏈攻擊。

雖然沒有指出到底有哪些公司受到了影響，僅稱其中至少有114 家位於美國、或在美設有分支機構的企業—— 其中IT、軟件開發和雲服務公司成為了0ktapus 釣魚攻擊的首要目標。

安全研究人員推測攻擊者位於北卡羅來納州

週四的時候，Okta也在一篇帖子中透露了其為受害者之一。可知釣魚攻擊者會引誘受害者至Telegram 頻道，以繞過基於一次性驗證碼的2FA 驗證防護。

當受害者在精心偽造的站點上輸入用戶名和密碼時，機密信息會即刻傳遞給攻擊者、並導致真實站點淪陷。

ArsTechnica指出—— 此類事件的不斷上演，揭示了現代組織在面對手段並不高明的社會工程攻擊時的脆弱性、及其對合作夥伴與客戶能夠造成的深遠影響。