Хакер #305. Многошаговые SQL-инъекции
Представители Cloudflare заявили, что некоторые сотрудники компании пострадали от фишинговой SMS-атаки, и у них похитили учетные данные. Аналогичной атаке на прошлой неделе подверглись сотрудники Twilio, и компанию в итоге взломали.
Напомню, что ранее на этой неделе стало известно о взломе компании Twilio, занимающейся разработкой и предоставлением облачных PaaS-услуг. Выяснилось, что в начале августа неизвестные злоумышленники получили доступ к данным некоторых ее клиентов, предварительно скомпрометировав учетные записи сотрудников Twilio.
В рамках фишинговой атаки на сотрудников Twilio хакеры выдавали себя за представителей ИТ-отдела компании. В своих SMS-сообщениях они просили людей перейти по ссылкам, содержащим такие ключевые слова, как Twilio, Okta и SSO, после чего жертвы попадали на фейковую страницу входа в Twilio. Перейти по вредоносным ссылкам людей убеждали предупреждениями о том, что действие их паролей якобы истекло или их пора изменить по плану, так как они устарели.
Официальные представители Twilio писали, что похожим атакам подверглись и другие компании, совместно с которыми Twilio постаралась оставить атаку злоумышленников. Названия других пострадавших компаний при этом не раскрывались.
Как теперь сообщают в Cloudflare, одной из целей хакеров стали ее сотрудники. В данном случае злоумышленники провели такую же фишинговую атаку через SMS и успешно похитили учетные данные, однако не сумели войти в систему с их помощью: у хакеров не было доступа к FIDO2-ключам, которые применяют в компании.
В общей сложности фишинговые сообщения получили 76 сотрудников и члены их семей. Фальшивки исходили с номеров T-Mobile и перенаправляли жертв на поддельные страницы входа в систему Cloudflare Okta, размещенные в домене cloudflare-okta[.]com. Этот домен был зарегистрирован через регистратора Porkbun, который также использовался для регистрации доменов, замеченных в атаке на Twilio.
«Примерно в то же время, когда Twilio подверглась атаке, мы наблюдали очень похожую атаку, нацеленную на сотрудников Cloudflare. Невзирая на то, что отдельные сотрудники попались на уловку фишеров, мы сумели предотвратить атаку, благодаря продуктам Cloudflare One и аппаратам ключам безопасности, которые необходимы для доступа ко всем нашим приложениям и выданы каждому сотруднику. Хотя злоумышленники попытались войти в наши системы со скомпрометированными учетными данными, они не смогли обойти требование аппаратного ключа», — рассказывают в компании.
Сообщается, что после атаки в Cloudflare приняли ряд защитных мер:
- блокировали фишинговый домен с помощью Cloudflare Gateway;
- идентифицировали всех пострадавших сотрудников Cloudflare и сбросили скомпрометированные учетные данные;
- выявили и блокировали инфраструктуру злоумышленников;
- обновили методы обнаружения, чтобы идентифицировать любые последующие попытки атаки;
- провели аудит журналов доступа в поисках дополнительных признаков атак.