Eine detaillierte Analyse der 0ktapus-Phishing-Angriffe

Erfahren Sie, wie Swimlanes eigenes SOC mithilfe von Low-Code-Sicherheitsautomatisierung auf einen potenziellen Lieferkettenangriff reagiert hat.

Was war 0ktapus?

Bei 0ktapus handelte es sich um eine massive Phishing-Kampagne, die vom Forschungsteam der Group-IB entdeckt wurde. Ziel der Kampagne war es, Okta-Kunden Textnachrichten mit Links zu Phishing-Websites zu senden, die die Okta-Authentifizierungsseite ihrer Organisation nachahmten und Okta-Zugangsdaten sowie Zwei-Faktor-Authentifizierungscodes (2-FA) abgriffen.

Diese von den Angreifern angewandte Angriffsmethode ist zwar nicht neu, wird aber in letzter Zeit vermehrt eingesetzt. Sobald die Angreifer Zugangsdaten und Zwei-Faktor-Codes erlangt haben, können sie sich Zugang zum Zielunternehmen verschaffen. Betroffen waren hauptsächlich Softwareunternehmen, gefolgt von Firmen aus den Bereichen Telekommunikation, Unternehmensdienstleistungen, Finanzen, Bildung, Einzelhandel und Logistik.

Entsprechend Dunkle Lektüre, Bei dieser Phishing-Kampagne wurden etwa 10.000 Okta-Zugangsdaten und 2FA-Informationen kompromittiert. Das Forschungsteam von Group-IB identifizierte insgesamt 169 verschiedene Domains, die im Rahmen dieses Phishing-Angriffs verwendet wurden. Alle zugehörigen Indikatoren für eine Kompromittierung (IOCs) sind hier zu finden. Hier.

Zeitleiste der Ereignisse

An 26. August 2022, Mithilfe von Low-Code-Sicherheitsautomatisierung konnte unser Security Operations Center (SOC)-Team schnell auf eine Benachrichtigung unseres Managed Detection and Response (MDR)-Partners über diesen Phishing-Angriff auf die Lieferkette reagieren.

Nachfolgend finden Sie eine Zeitleiste, die zeigt, wie schnell unsere Teams – Sicherheit, IT und Personalwesen – mithilfe von [fehlende Information] auf diese Phishing-Kampagne reagieren konnten. Swimlane-Plattform.

Um 13:08 Uhr MDT – Das Swimlane SOC erhielt eine Slack-Benachrichtigung von unserem MDR-Partner über den Lieferkettenangriff.

Um 13:13 Uhr – Das Swimlane SOC überprüfte alle abgeschlossenen Fälle und nutzte Open-Source-Informationen, um mögliche Risiken einzuschätzen.

Um 13:49 Uhr Das Swimlane SOC hat einen neuen Incident-Response-Fall (IR-Fall) erstellt, um alle laufenden Maßnahmen, einschließlich aller ausstehenden und abgeschlossenen Aktionen, zu dokumentieren. Wir haben alle zugehörigen Indikatoren für eine Kompromittierung (IOCs) in unserer Infrastruktur blockiert, darunter Web Application Firewalls (WAF), Netzwerk-Firewalls (NFW) sowie alle unsere Endpunkte.

Um 14:07 Uhr – Mithilfe von Automatisierung initiierte das Sicherheitsteam eine Suche nach Indikatoren für eine Kompromittierung (IOC) unter Einbeziehung aller Swimlane-SOC-, SIEM-, Cloud-Ressourcen und Endpunkt-Entitäten. Diese Suche führte zu keinen Treffern oder Kompromittierungen.

Um 14:19 Uhr – Mithilfe der Swimlane-Automatisierung haben wir die Regeln und Richtlinien für alle Enterprise-IT- und Cloud-Umgebungen aktualisiert, um jegliche Aktivitäten zu isolieren und einzudämmen, die mit bekannten IOCs in Verbindung stehen, die nachweislich mit diesem Angriff in Zusammenhang stehen.

Um 14:48 Uhr – Das SOC hat seine Untersuchung abgeschlossen, und es wurden keine Auswirkungen auf unsere Organisation festgestellt.

Laufende Maßnahmen zur Risikominderung

Als Reaktion auf diese Phishing-Kampagne führten unsere Sicherheits- und Personalabteilungen Smishing-Schulungen für die Mitarbeiter durch, um alle über die eingesetzten Bedrohungen auf dem Laufenden zu halten.

Organisationen sollten zudem die Deaktivierung von Einmalpasswörtern wie SMS und Push-Benachrichtigungen in Betracht ziehen, da diese weniger sicher sind und, wie wir erfahren haben, missbräuchlich eingesetzt werden können, um Organisationen anzugreifen. Unternehmen können außerdem FIDO-2-konforme Sicherheitsschlüssel für die Multi-Faktor-Authentifizierung verwenden, wodurch die Angriffsfläche der betroffenen Unternehmen verringert wird.

Wie Low-Code-Sicherheitsautomatisierung geholfen hat

Low-Code-Sicherheitsautomatisierung und angemessene Fallmanagement Sie sind wichtige Werkzeuge, die eine schnelle Reaktion auf Bedrohungen ermöglichen. Ohne die Funktionen von Swimlane zur Bedrohungserkennung und Reaktion auf Sicherheitsvorfälle müsste sich unser SOC-Team in jedes einzelne Sicherheitstool einloggen, um die im Rahmen dieser Phishing-Kampagne verwendeten Indikatoren für Kompromittierung (IOCs) zu suchen und zu blockieren.

Durch den Einsatz der Swimlane-Plattform konnten wir die Automatisierung schnell vorantreiben und unsere mittlere Lösungszeit (MTTR) deutlich verkürzen. Wir nutzen unsere Plattform für Sicherheitsautomatisierung, -orchestrierung und -reaktion, um Folgendes zu erreichen:

• Automatisieren Sie die manuellen Schritte des IOC-Prozesses
• Falsch-positive Ergebnisse automatisch kennzeichnen und verwerfen
• Kontextinformationen sammeln, um IOCs in Maschinengeschwindigkeit anzureichern

Das Sicherheitsteam von Swimlane setzt auf Low-Code-Sicherheitsautomatisierung, um Fehler und Fehlalarme im Untersuchungsprozess zu reduzieren. Sie übernimmt Routineaufgaben und zeitaufwändige Prozesse, sodass unsere Analysten ihre Zeit für strategische Entscheidungen nutzen können. Dadurch konnten wir umgehend auf die Phishing-Kampagne von 0ktapus reagieren und die Bedeutung von Sicherheit unterstreichen.

Ein Einkaufsführer für moderne Sicherheitsautomatisierung

SOC-Teams in Unternehmen erkennen zwar den Bedarf an Automatisierung, haben aber oft Schwierigkeiten mit den passenden Lösungen. SOAR-Lösungen (Security Orchestration, Automation and Response) erfordern häufig umfangreiche Skripte. Dieser Leitfaden analysiert die vielfältigen verfügbaren Plattformen für Sicherheitsautomatisierung, damit Sie die Lösung finden, die am besten zu Ihren Anforderungen passt. 

E-Book herunterladen