Kimlik ve erişim yönetimi çözümleri sağlayıcısı Okta, ABD merkezli çok sayıda müşterisinin tehdit aktörleri tarafından amacı MFA’yı devre dışı bırakmak ve yüksek ayrıcalıklar elde etmek olan sosyal mühendislik saldırılarının hedefi olduğunu söylüyor.
Okta, gerçekleşen saldırıların 29 Temmuz – 19 Ağustos 2023 tarihleri arasında aktif olduğu belirtti. Tehdit aktörleri, BT tarafında müşterilere destek veren çalışanlara yönelik sosyal mühendislik saldırıları youyla hedef alarak, daha önceden hedefledikleri şirket içerisinde yüksek ayrıcalıklı haklara sahip kullanıcıları ait çok faktörlü kimlik doğrulamalarını (MFA) sıfırlamaya ikna etmeye çalışmışlar.
Şirket, tehdit aktörü ya da ana amaçları konusunda bir detay belirtmezken, başarılı bir şekilde sızma sonucunda yanal hareket ve savunmadan kaçma konusunda yeni yöntemler keşfetmişler.
Okta’ya göre tehdit aktörleri, destek tarafındaki çalışanlara ulaşmadan önce ya yüksek ayrıcalıklı haklara sahip kullanıcı hesaplarıyla ilişkili parolaları ele geçirdiler, ya da Active Directory üzerinden yetkilendirilmiş kimlik doğrulama akışını manipüle ettiler. Daha sonra ise hedeflenen ve özellikle yüksek ayrıcalıklı haklara sahip kullanıcı hesaplarına ait tüm MFA faktörlerini sıfırlamak içinde destek çalışanlarını ikna etmeye çalıştılar.
Yüksek ayrıcalıklı haklara sahip hesaplara erişen tehdit aktörleri, diğer hesaplara yüksek ayrıcalıklar atadılar ve bazı durumlarda mevcut yönetici hesapları için kayıtlı kimlik doğrulayıcılarnı sıfırladılar. Ayrıca ikinci faktör gereksinimlerini ortadan kaldırmak için kimlik doğrulama politikalarını da değiştirdiler. Okta’nın verdiği diğer detaylardan biri de tehdit aktörlerinin, hedeflenen kuruluştaki kullanıcıları taklit etmek için gelen federasyonu kötüye kullandığına dikkat çekti.
Tehdit aktörünün, ele geçirilen hesap içerisindeki uygulamalara diğer kullanıcılar adına erişmek için bir “kimliğe bürünme uygulaması” görevi görecek ikinci bir kimlik sağlayıcıyı yapılandırdığı gözlemlenmiş. Yine saldırgan tarafından kontrol edilen bu ikinci kimlik sağlayıcı, hedefle gelen bir federasyon ilişkisinde (bazen “Org2Org” olarak da adlandırılır) bir “kaynak” IdP görevi görüyor.
Saldırganlar, kaynak görevi görecek şekilde kendi sahte kimlik sağlayıcılarını kuruyor ve ardından kullanıcı adı parametresini hedef kuruluştaki gerçek bir kullanıcıyla eşleşecek şekilde değiştiriyor. Bu, gerçek kullanıcıların kimliğine bürünerek hedef kuruluştaki uygulamalara erişmelerine olanak tanıyor.
Okta , saldırıların önlenmesine yönelik bir dizi önerinin yanı sıra güvenlik ihlali göstergelerini (IoC) paylaştı .
