Analyse approfondie des attaques de phishing 0ktapus

Découvrez comment le SOC de Swimlane a utilisé l'automatisation de la sécurité low-code pour réagir à une potentielle attaque de la chaîne d'approvisionnement.

Qu'était-ce que 0ktapus ?

0ktapus était une campagne de phishing massive découverte par l'équipe de recherche Group-IB, qui ciblait les clients d'Okta pour leur envoyer des SMS contenant des liens vers des sites de phishing imitant la page d'authentification Okta de leur organisation, qui récoltaient les identifiants Okta et les codes d'authentification à deux facteurs (2-FA).

Cette attaque, utilisée par les cybercriminels, n'est pas une technique nouvelle, mais elle a récemment été déployée à grande échelle. Une fois les identifiants et les codes d'authentification à deux facteurs obtenus, les cybercriminels peuvent accéder au système de l'entreprise ciblée. La majorité des organisations touchées par ces attaques sont des entreprises de logiciels, suivies par celles des secteurs des télécommunications, des services aux entreprises, de la finance, de l'éducation, du commerce de détail et de la logistique.

Selon Lecture sombre, Environ 10 000 identifiants Okta et authentifications à deux facteurs ont été compromis lors de cette campagne d'hameçonnage. L'équipe de recherche de Group-IB a identifié 169 domaines uniques utilisés dans le cadre de cette attaque, et tous les indicateurs de compromission (IOC) associés sont disponibles. ici.

Chronologie des événements

Sur 26 août 2022, grâce à l'automatisation de la sécurité à faible code, notre équipe du centre des opérations de sécurité (SOC) a pu réagir rapidement à une notification de notre partenaire de détection et de réponse gérées (MDR) concernant cette attaque de phishing de la chaîne d'approvisionnement.

Vous trouverez ci-dessous une chronologie de la rapidité avec laquelle nos équipes – sécurité, informatique et RH – ont pu réagir à cette campagne d'hameçonnage grâce à l'utilisation de Plateforme de couloir de nage.

À 13h08 MDT – Le SOC de Swimlane a reçu une notification Slack de notre partenaire MDR concernant une attaque sur la chaîne d'approvisionnement.

À 13h13 – Le SOC de Swimlane a examiné tous les dossiers clos et a utilisé des renseignements provenant de sources ouvertes pour évaluer tout risque.

À 13h49 Le SOC de Swimlane a créé un nouveau dossier de réponse aux incidents (IR) afin de suivre toutes les actions en cours, y compris celles qui sont terminées. Nous avons bloqué tous les indicateurs de compromission (IOC) attribués à notre infrastructure, notamment les pare-feu d'applications web (WAF), les pare-feu réseau (NFW) et tous nos terminaux.

À 14h07 Grâce à l'automatisation, l'équipe de sécurité a lancé une recherche d'indicateurs de compromission (IOC) en utilisant l'ensemble des ressources Swimlane SOC, SIEM, cloud et terminaux. Cette opération n'a révélé aucune vulnérabilité ni compromission.

À 14h19 – Grâce à l'automatisation Swimlane, nous avons mis à jour les règles et les politiques de tous les environnements informatiques et cloud de l'entreprise afin d'isoler et de contenir toute activité liée aux indicateurs de compromission connus et confirmés comme étant associés à cette attaque.

À 14h48 – Le SOC a conclu son enquête et aucun impact n'a été observé sur notre organisation.

Mesures en cours pour atténuer les risques

Dans le cadre de notre réponse à cette campagne d'hameçonnage, nos équipes de sécurité et de ressources humaines ont organisé une formation sur le smishing pour les employés afin de les tenir informés des menaces utilisées.

Les organisations devraient également envisager de désactiver les mots de passe à usage unique, tels que les SMS et les notifications push, car ils sont moins sécurisés et, comme nous l'avons constaté, peuvent être utilisés à des fins malveillantes pour cibler une organisation. Les entreprises peuvent également utiliser des clés de sécurité conformes à la norme FIDO-2 pour l'authentification multifacteurs, ce qui réduirait la surface d'attaque des entreprises ciblées.

Comment l'automatisation de la sécurité low-code a aidé

Automatisation de la sécurité low-code et appropriée gestion de cas Ces outils sont essentiels pour réagir rapidement à toute menace. Sans les fonctionnalités de détection des menaces et de réponse aux incidents de Swimlane, notre équipe SOC aurait dû se connecter individuellement à chaque outil de sécurité pour rechercher et bloquer les indicateurs de compromission (IOC) utilisés dans cette campagne d'hameçonnage.

Grâce à la plateforme Swimlane, nous avons pu rapidement tirer parti de l'automatisation et réduire notre délai moyen de résolution (MTTR). Nous nous appuyons sur notre plateforme d'automatisation, d'orchestration et de réponse en matière de sécurité pour nous aider à :

• Automatiser les étapes manuelles du processus IOC
• Signaler et ignorer automatiquement les faux positifs
• Collecter le contexte pour enrichir les IOC à la vitesse de la machine

L'équipe des opérations de sécurité de Swimlane s'appuie sur l'automatisation de la sécurité low-code pour réduire les erreurs et les faux positifs lors des investigations. Elle prend en charge les tâches répétitives et chronophages, permettant ainsi à nos analystes de se concentrer sur des décisions plus stratégiques. Grâce à cela, nous avons pu réagir instantanément à la campagne de phishing 0ktapus et réaffirmer l'importance de la sécurité.

Guide d'achat pour l'automatisation de la sécurité moderne

Les équipes SOC des entreprises reconnaissent la nécessité de l'automatisation, mais rencontrent souvent des difficultés avec les solutions d'automatisation elles-mêmes. Les solutions SOAR (Security Orchestration, Automation and Response) nécessitent généralement un développement important en matière de scripts. Ce guide analyse le large éventail de plateformes d'automatisation de la sécurité disponibles aujourd'hui, afin de vous aider à identifier la solution la mieux adaptée à vos besoins. 

Télécharger le livre électronique