USA纽约的广告公司Optimizely遭遇语音钓鱼攻击导致大量客户数据泄露
总部位于纽约的广告科技公司Optimizely披露,其部分网络系统在一次语音钓鱼攻击中被入侵。
它在全球21个办事处拥有近1500名员工,客户名单涵盖超过1万家企业,包括H&M、PayPal、Zoom、丰田、沃达丰、壳牌、Salesforce和耐克等知名品牌。
在发送给受影响客户的泄露通知信中,公司和威胁行为者于2月11日联系了他们,声称他们有权访问其系统。
Optimizely还告诉BleepingComputer,攻击者攻破了其部分系统,窃取了他们所描述的“基本业务联系信息”。
“威胁行为者通过复杂的语音钓鱼攻击获得了Optimizely系统的访问权限,但无法提升权限、安装软件或在Optimizely环境中创建任何后门,我们没有证据表明该威胁行为者能够访问除基本业务联系方式外的敏感客户数据或个人信息。”
Optimizely还指出,“此次事件仅限于某些内部业务系统、我们CRM中的记录以及用于后台运营的有限内部文档”,并补充说其“业务运营继续进行,未受中断。”
公司还警告客户警惕可能利用部分被盗数据进行进一步钓鱼攻击的攻击,这些攻击可能通过电话、短信或电子邮件索取密码、MFA代码或其他凭证。
虽然Optimizely未透露数据泄露中泄露了多少客户信息,也尚未透露攻击背后的威胁行为者,但告诉受影响的客户,“我们收到的通信与一个松散关联的团体行为一致,这些团体使用复杂且激进的社会工程手法,通常涉及语音钓鱼。” 试图访问受害者的系统。”
这暗示攻击者很可能是ShinyHunters敲诈行动的一部分,该组织最近几周在Canada Goose、Panera Bread、Betterment、SoundCloud、PornHub、金融科技公司Figure以及拥有多个热门约会服务的在线约会巨头Match Group(拥有包括Tinder、Hinge、Meetic、Match.com 和OkCupid)都发生了类似的入侵事件。
虽然并非所有泄露事件都属于同一活动,但部分受害者的系统在针对Microsoft、Okta和Google的100多家知名组织的单点登录(SSO)账户的语音钓鱼(vishing)攻击中遭到攻破。
在这些攻击中,威胁行为者冒充目标的IT支持,致电员工,诱使他们在钓鱼网站上输入凭证和多因素认证(MFA)代码,模仿其公司的登录门户。
正如BleepingComputer最初报道的,威胁行为者最近还调整了他们的社交工程攻击,利用设备代码可视化,滥用合法的OAuth 2.0设备授权授权流程,获取Microsoft Entra认证令牌。
一旦进入,他们劫持了受害者的SSO账户,并访问了包括Salesforce、Microsoft 365、Google Workspace、Zendesk、Dropbox、SAP、Slack、Adobe、Atlassian等众多企业服务。
在发送给受影响客户的泄露通知信中,公司和威胁行为者于2月11日联系了他们,声称他们有权访问其系统。
Optimizely还告诉BleepingComputer,攻击者攻破了其部分系统,窃取了他们所描述的“基本业务联系信息”。
“威胁行为者通过复杂的语音钓鱼攻击获得了Optimizely系统的访问权限,但无法提升权限、安装软件或在Optimizely环境中创建任何后门,我们没有证据表明该威胁行为者能够访问除基本业务联系方式外的敏感客户数据或个人信息。”
Optimizely还指出,“此次事件仅限于某些内部业务系统、我们CRM中的记录以及用于后台运营的有限内部文档”,并补充说其“业务运营继续进行,未受中断。”
公司还警告客户警惕可能利用部分被盗数据进行进一步钓鱼攻击的攻击,这些攻击可能通过电话、短信或电子邮件索取密码、MFA代码或其他凭证。
虽然Optimizely未透露数据泄露中泄露了多少客户信息,也尚未透露攻击背后的威胁行为者,但告诉受影响的客户,“我们收到的通信与一个松散关联的团体行为一致,这些团体使用复杂且激进的社会工程手法,通常涉及语音钓鱼。” 试图访问受害者的系统。”
这暗示攻击者很可能是ShinyHunters敲诈行动的一部分,该组织最近几周在Canada Goose、Panera Bread、Betterment、SoundCloud、PornHub、金融科技公司Figure以及拥有多个热门约会服务的在线约会巨头Match Group(拥有包括Tinder、Hinge、Meetic、Match.com 和OkCupid)都发生了类似的入侵事件。
虽然并非所有泄露事件都属于同一活动,但部分受害者的系统在针对Microsoft、Okta和Google的100多家知名组织的单点登录(SSO)账户的语音钓鱼(vishing)攻击中遭到攻破。
在这些攻击中,威胁行为者冒充目标的IT支持,致电员工,诱使他们在钓鱼网站上输入凭证和多因素认证(MFA)代码,模仿其公司的登录门户。
正如BleepingComputer最初报道的,威胁行为者最近还调整了他们的社交工程攻击,利用设备代码可视化,滥用合法的OAuth 2.0设备授权授权流程,获取Microsoft Entra认证令牌。
一旦进入,他们劫持了受害者的SSO账户,并访问了包括Salesforce、Microsoft 365、Google Workspace、Zendesk、Dropbox、SAP、Slack、Adobe、Atlassian等众多企业服务。
关于作者
评论1次
### 结论 攻击链核心路径:**社会工程(语音钓鱼) → 凭证窃取 → SSO账户横向移动 → CRM/内部文档权限利用**。攻击者通过模拟IT支持诱导员工泄露凭证(包含MFA代码),结合OAuth设备授权流程绕过MFA,最终获取敏感xi统访问权限。防御薄弱点在于**身份验证环节的社工漏洞**及**SSO账户权限过度开放**,未有效阻断横向渗透。 --- ### 分析路径(T00ls方法论) **L1 攻击面识别** - **Source(攻击入口)**: 1. 员工电话通信渠道(语音钓鱼)。 2. SSO平台(如Microsoft Entra、Okta)的凭证复用场景。 - **Sink(数据泄露点)**: 1. CRMxi统中的客户信息(联xi人、企业数据)。 2. 内部文档(运营记录、客户合作协议等)。 **L2 假设与验证** - **假设1**:攻击者通过模拟IT支持电话诱导员工访问钓鱼SSO登录页,收集凭证+MFA代码。 - **验证点**:检查SSO日志是否存在异常登录时间、IP(如归属地异常)、多因素认证跳过记录。 - **假设2**:利用OAuth设备授权流程获取长期令牌(如微软Entra的设备代码)。 - **验证点**:审查OAuth授权日志,确认是否存在未授权的OAuth客户端或设备绑定记录。 **L3 边界/异常场景** - 攻击者未提升xi统权限或创建后门,但成功横向访问CRM/文档xi统,**权限隔离失效**是关键漏洞。 - 验证攻击者是否尝试过: 1. 上传恶意脚本(日志中无异常文件操作记录)。 2. 持久化驻留(如创建AD组策略、计划任务)。 **L4 防御反推与修复** - 攻击者利用了**MFA信任链漏洞**(员工手动输入MFA代码)和**SSO会话长时效**(未强制短时有效期)。 - Optimiely防御措施缺失: 1. **MFA二次验证**:未部署硬件安全密钥或生物特征认证。 2. **最小权限原则**:SSO账户默认拥有跨xi统访问权限。 --- ### 验证步骤(最小可执行路径) 1. **凭证泄露溯源**: - 分析SSO登录日志,定位异常登录事件(如非办公时间、IP归属地与员工常驻地冲突)。 - 检查MFA记录,确认是否存在“手动输入验证码”而非推送/扫码方式。 2. **OAuth设备授权审计**: - 抽查OAuth设备授权日志,确认是否存在未授权的“设备代码”请求(如时间与攻击时间段重叠)。 3. **横向移动痕迹**: - 检查CRMxi统API访问日志,确认攻击者账号是否访问了超出其角色权限的数据。 4. **社工防御测试**: - 模拟语音钓鱼攻击场景(如冒充IT人员索取密码),验证员工防御意识。 --- ### 修复建议 **1. 身份验证加固**: - 强制所有SSO账户启用**硬件安全密钥(如Yubikey)**,禁用短信/邮件MFA。 - 限制OAuth设备授权有效期(如1小时),并记录所有设备绑定日志。 **2. 权限最小化**: - 通过RBAC(基于角色的访问控制)限制SSO账户对CRM/文档的访问权限,仅开放必要功能。 - 关闭非必要第三方应用API权限(如攻击者可能利用的Dropbox、Slack集成)。 **3. 监控与检测**: - 部署UEBA(用户实体行为分析),监控SSO登录行为(如登录设备指纹、地理异常)。 - 在CRMxi统中设置敏感字段访问告警(如批量导出客户数据)。 **4. 应急响应补丁**: - 立即重置所有SSO账户凭证,并禁用泄露的MFA设备。 - 部署网络流量过滤规则,阻断已知威胁IP与C2通信(若泄露报告中存在IP信息)。 **5. 员工意识培训**: - 每季度进行**语音钓鱼模拟演练**,重点训练员工对“请求MFA代码/密码”的识别能力。 - 明确制定“永不分享MFA代码”的组织安全政策。