ผู้เชี่ยวชาญจาก Group-IB ได้ออกรายงานถึงแคมเปญการ Phishing ที่มีเหยื่อส่วนใหญ่เป็นบริษัทไอทีเองแท้ๆ โดยเหยื่อรายใหญ่ที่เพิ่งมีข่าวไปก็คือ Twilio และ Cloudflare นั่นเอง

วิธีการก็ง่ายมาคนร้ายได้ปลอมแปลงว่าเป็นบริษัท OKTA ที่ให้บริการ IAM โดยเหยื่อจะได้รับลิงก์ใน SMS ทางโทรศัพท์เป็นลิงก์สู่การรีเซตรหัสผ่าน ซึ่งหน้าตาเหมือนของจริงที่องค์กรใช้ ประเด็นที่ยังคาใจของผู้เชี่ยวชาญคือคนร้ายมีการเตรียมลิสต์เป้าหมายวางแผนไว้แค่ไหนอย่างไรหรือค่อยๆด้นสดไปที่ละขั้นตอนเพราะอีกหนึ่งเรื่องที่ต้องชมคือคนร้ายลงมือไวมากพอแทรกแซงได้ก็ขยายผลไปยังคู่ค้าของเหยื่ออย่างรวดเร็ว อีกเรื่องคือคนร้ายได้เบอร์โทรศัพท์มาอย่างไร ซึ่งคาดคะเนว่าอาจมีการไปเล่นงานผู้ให้บริการโทรศัพท์มาก่อนหรือไม่
จากการวิเคราะห์ข้อมูลของ Group-IB มองเห็นเป้าประสงค์ของคนร้าย 2 เรื่องคือ OKTA Credentials และ 2FA Code ขององค์กร ข้อสังเกตุที่ผู้เชี่ยวชาญพบคือ
- พบ 169 โดเมนที่เกี่ยวข้องโดยจะมีคีย์เวิร์ดคือ SSO, VPN, OKTA, MFA และ HELP หน้าเพจเหล่านั้นก็เหมือนของจริงมาก
- ชุดเครื่องมือที่ใช้ยังไม่เคยพบมาก่อน
- จากโค้ดของเครื่องมือมีการคอนฟิคบอทเทเลแกรมสำหรับใส่ข้อมูลที่ถูกแทรกแซงลงไป
- มีบันทึก 9,931 รายการของ Credentials ในการโจมตีครั้งนี้ 3,129 รายการเป็นอีเมลแต่ 2 ใน 3 เป็นอีเมลส่วนตัวดังนั้นทีมงานจึงต่อยอดไม่ได้มากนักรู้เพียงแต่ว่ามีบริษัทราว 114 แห่งในสหรัฐฯได้รับผลกระทบ ตรงนี้เองส่วนมากเป็นบริษัทด้านไอที ซอฟต์แวร์ หรือคลาวด์ บันทึกอีก 5,441 รายการเป็น MFA Code
ในการสืบหาตัวคนร้ายฟีเจอร์ของเทเลแกรมช่วยทีมงานได้มากเพราะเปิดให้ทราบถึงชื่อชาแนลและผู้ดูแลที่มีนามแฝงว่า ‘X’ อย่างไรก็ดีทีมงานเสาะหาไปได้ถึงชื่อเดิมก่อนเปลี่ยนเป็น X แต่เชื่อมโยงได้ไปจนถึง Twitter และ GitHub คาดว่าเป็นคนในสหรัฐฯนี่เอง
ปัจจุบัน Group-IB ได้แจ้งเตือนเหยื่อและเจ้าหน้าที่แล้ว แต่เรื่องนี้เป็นบทเรียนได้อย่างดีใน 2 เรื่องคือไม่ว่าอย่างไรมนุษย์ก็ยังเป็นจุดอ่อนที่สุดเมื่อเจอกับแคมเปญหลอกลวง และอีกเรื่องคือการตระหนักให้คิดเกี่ยวกับ IAM ใหม่ว่าน่าเชื่อได้แค่ไหนควรมีมาตรการอะไรเสริม เพราะอย่างกรณีของ Twilio คนร้ายได้ SSO Credential ต่อยอดไปหาผู้ใช้บริการเกือบ 2 พันราย แต่ในมุมของ Cloudflare กระทบน้อยกว่ามากเพราะการเข้าระบบภายในต้องมี Security Key แบบ Physical
ที่มา : https://www.helpnetsecurity.com/2022/08/25/0ktapus-twilio-cloudflare-phishers-targets/ และ https://www.darkreading.com/remote-workforce/twilio-hackers-okta-credentials-sprawling-supply-chain-attack