Laut dem Cybersicherheitsunternehmen Group-IB war der Angriff auf Twilio Teil einer umfassenderen Kampagne der Hacking-Gruppe „0ktapus“.Basierend auf der Anfrage unseres Kunden und aus öffentlichen Berichten von Twilio und Wolkenflaredie Angriffe waren gut geplant und ausgeführt“, sagte Group-IB in einem Blogbeitrag.Die Angreifer zielten auf Mitarbeiter von Unternehmen, die Kunden von sind Identitäts- und Zugriffsverwaltung (IAM) Führer Okta.Diese Mitarbeiter erhielten Textnachrichten mit Links zu Phishing-Sites, die die Okta-Authentifizierungsseite ihrer Organisation nachahmten.Insgesamt entdeckte das Group-IB Threat Intelligence-Team 169 einzigartige Domains, die an der Oktapus-Kampagne beteiligt waren.„Zu diesem Zeitpunkt wurde sehr deutlich, dass die unmittelbaren Absichten der Bedrohungsakteure darin bestanden, Zugang zu den Unternehmensdiensten der Organisationen zu erhalten“, sagten die Forscher.
Twilio, dem die beliebte Zwei-Faktor-Authentifizierung (2FA) Authy gehört, sagte zuvor, dass es durch einen ausgeklügelten Social-Engineering-Angriff, der darauf abzielt, Mitarbeiteranmeldeinformationen zu stehlen, auf den unbefugten Zugriff auf Informationen im Zusammenhang mit einer begrenzten Anzahl von Twilio-Kundenkonten aufmerksam wurde.Die Group-IB-Analyse zeigt, dass die meisten Zielunternehmen in den USA angesiedelt sind. Einige der Betroffenen haben ihren Hauptsitz in anderen Ländern, haben aber in den USA ansässige Mitarbeiter, die ins Visier genommen wurden.
Daten von 10.000 Mitarbeitern wurden kompromittiert, als Hacker in 130 Organisationen eindrangen
Über 130 Unternehmen wurden bei einem ausgeklügelten Angriff mit einfachen Phishing-Kits kompromittiert, der die Anmeldeinformationen von fast 10.000 Mitarbeitern offenlegte.Derselbe Hacker hat den Kommunikationsgiganten angegriffen Twilio und als Teil der Verletzung eine Ende-zu-Ende-verschlüsselte Messaging-App Signal enthüllte letzte Woche, dass Hacker auf die Telefonnummern und SMS-Bestätigungscodes von 1.900 Benutzern zugegriffen hatten.