这些攻击的核心是一个名为 0ktapus 的商业网络钓鱼工具包，它提供预制模板来创建更为逼真的虚假身份验证门户，并最终获取凭证和多因素身份验证（MFA）代码。它还通过Telegram整合了一个内置的命令与控制 (C2) 通道。

Palo Alto Networks 的第42部门曾在 2023 年 6 月告诉《The Hacker News》，有多个威胁行为体正在 "将其添加到自己的武器库中"，而且 "仅使用 0ktapus 钓鱼工具包并不一定能将威胁行为体归类为 "Muddled Libra"。

该公司还表示，它无法找到足够的关于目标定位、持续性或目的的数据，以确认该行为体与谷歌旗下的 Mandiant 追踪的一个未分类组织 UNC3944 之间的联系。据悉，该组织也采用类似的手法。

Trellix 研究员 Phelix Oluoch 在上个月发布的一份分析报告中指出：Scattered Spider 主要针对电信和业务流程外包（BPO）组织。然而，最近的活动表明这个组织已经开始瞄准其他行业，包括关键基础设施组织。

在最新的一组攻击中，威胁分子已经掌握了属于特权用户账户的密码，或者 "能够通过活动目录（AD）操纵委托身份验证流"，然后再致电目标公司的 IT 服务台，要求重置与账户相关的所有 MFA 因子。

超级管理员账户的访问权限随后被用来为其他账户分配更高的权限，重置现有管理员账户中的注册验证器，甚至在某些情况下从验证策略中移除第二要素要求。

Okta表示：据观察，威胁行为者已经配置了第二个身份提供程序，以作为'冒充的应用程序'，代表其他用户访问被入侵组织内的应用程序。"这第二个身份提供商也由攻击者控制，将在与目标的入站联盟关系（有时称为'Org2Org'）中充当'源'IdP"。

通过这个'源'IdP，威胁者操纵了第二个'源'身份提供商中目标用户的用户名参数，使其与被攻击的'目标'身份提供商中的真实用户相匹配。这就提供了以目标用户身份单点登录（SSO）目标身份提供商应用程序的能力。

该公司建议客户执行防网络钓鱼身份验证，加强服务台身份验证流程，启用新设备和可疑活动通知，并审查和限制超级管理员角色的使用，从而更好的应对此类攻击。

参考来源：Okta Warns of Social Engineering Attacks Targeting Super Administrator Privileges (thehackernews.com)