身份服務提供商Okta上周五（9月1日）警告稱，有威脅行為者針對該公司進行了一次社會工程攻擊獲得了管理員權限。

該公司表示：最近幾周，多家美國Okta客戶報告了多個針對IT服務人員的社會工程攻擊。這些威脅行為者會打電話給服務臺人員，然后要求重置高權限用戶注冊的所有多因素身份驗證（MFA）因子，從而開始濫用Okta超級管理員帳戶的最高權限來冒充受感染組織內的用戶。該公司表示，這些活動發生在2023年7月29日至8月19日之間。

雖然Okta沒有透露威脅參與者的身份，但其使用的攻擊戰術符合名為“Muddled Libra”的活動集群的所有特征，據說它與“Scattered Spider”和“Scatter Swine”也有一定的關聯。

這些攻擊的核心是一個名為 0ktapus 的商業網絡釣魚工具包，它提供預制模板來創建更為逼真的虛假身份驗證門戶，并最終獲取憑證和多因素身份驗證（MFA）代碼。它還通過Telegram整合了一個內置的命令與控制 (C2) 通道。

Palo Alto Networks 的第42部門曾在 2023 年 6 月告訴《The Hacker News》，有多個威脅行為體正在 "將其添加到自己的武器庫中"，而且 "僅使用 0ktapus 釣魚工具包并不一定能將威脅行為體歸類為 "Muddled Libra"。

該公司還表示，它無法找到足夠的關于目標定位、持續性或目的的數據，以確認該行為體與谷歌旗下的 Mandiant 追蹤的一個未分類組織 UNC3944 之間的聯系。據悉，該組織也采用類似的手法。

Trellix 研究員 Phelix Oluoch 在上個月發布的一份分析報告中指出：Scattered Spider 主要針對電信和業務流程外包（BPO）組織。然而，最近的活動表明這個組織已經開始瞄準其他行業，包括關鍵基礎設施組織。

在最新的一組攻擊中，威脅分子已經掌握了屬于特權用戶賬戶的密碼，或者 "能夠通過活動目錄（AD）操縱委托身份驗證流"，然后再致電目標公司的 IT 服務臺，要求重置與賬戶相關的所有 MFA 因子。

超級管理員賬戶的訪問權限隨后被用來為其他賬戶分配更高的權限，重置現有管理員賬戶中的注冊驗證器，甚至在某些情況下從驗證策略中移除第二要素要求。

Okta表示：據觀察，威脅行為者已經配置了第二個身份提供程序，以作為'冒充的應用程序'，代表其他用戶訪問被入侵組織內的應用程序。"這第二個身份提供商也由攻擊者控制，將在與目標的入站聯盟關系（有時稱為'Org2Org'）中充當'源'IdP"。

通過這個'源'IdP，威脅者操縱了第二個'源'身份提供商中目標用戶的用戶名參數，使其與被攻擊的'目標'身份提供商中的真實用戶相匹配。這就提供了以目標用戶身份單點登錄（SSO）目標身份提供商應用程序的能力。

該公司建議客戶執行防網絡釣魚身份驗證，加強服務臺身份驗證流程，啟用新設備和可疑活動通知，并審查和限制超級管理員角色的使用，從而更好的應對此類攻擊。