Helpdesks sind das Ziel einer Social-Engineering-Kampagne, die auf HR-Anwendungen abzielt.

Executive Summary

Okta Threat Intelligence verfolgt seit August 2025 aktiv ein finanziell motiviertes Cluster von Aktivitäten, bekannt als O-UNC-034, das Social Engineering von Helpdesk-Mitarbeitern nutzt, um Accounts zu übernehmen und Daten in Gehaltsabrechnungssystemen zu manipulieren. 

O-UNC-034 wurde bei Angriffen auf Mitarbeiter von Organisationen beobachtet, die in verschiedenen Branchen tätig sind, darunter unter anderem Bildung, Fertigung und Industrie, Einzelhandel und Konsumgüter sowie Pharma und Gesundheitswesen. Es ist eines von mehreren Aktivitätsclustern, die von Okta Threat Intelligence und anderen Bedrohungsforschern verfolgt werden und auf HR- und Gehaltsabrechnungsanwendungen abzielen. Variationen dieses Themas umfassen die Verwendung von Malvertising (O-TA-54) und AitM-Phishing (STORM-2657). 

Das Hauptziel von O-UNC-034 ist die Manipulation von Bankdaten, die mit Zielbenutzern in HR-Systemen und gehaltsbezogenen Diensten verknüpft sind.

Dieser Bericht beschreibt die beobachteten Taktiken, Techniken und Prozeduren (TTPs) und stellt relevante Indicators of Compromise (IOCs) im Zusammenhang mit dieser aktiven Bedrohung zur Verfügung. 

Diese Informationen werden zu Informations- und Aufklärungszwecken bereitgestellt, um Unternehmen in die Lage zu versetzen, die von dieser Kampagne ausgehenden Risiken zu verstehen und zu mindern.

Bedrohungsanalyse

Der Angreifer nutzt Social-Engineering-Techniken, indem er sich als legitime Mitarbeiter ausgibt.

Beim Ersten Zugriff wurde beobachtet, dass der Angreifer Kontakt mit dem IT-Helpdesk des Zielunternehmens aufnimmt und sich als Mitarbeiter ausgibt. Sie nutzen diese Nachahmung, um Passwortzurücksetzungen für den Account des Mitarbeiters anzufordern.

Nach einem erfolgreichen Kennwortzurücksetzungsvorgang richtet der Angreifer Persistenz ein, indem er seinen eigenen MFA-Authentifizierungsfaktor für das kompromittierte Account registriert. Es wurde beobachtet, dass sich der Angreifer bei Okta Verify, Authentifizierung per Sprachanruf oder SMS anmeldet oder Sicherheitsfragen manipuliert, wodurch der Angreifer die Multi-Faktor-Authentifizierung (MFA) oder andere Sicherheitskontrollen umgehen kann.

Nach einer erfolgreichen Kompromittierung des Accounts greift der Akteur interne Anwendungen an, wobei er insbesondere Folgendes ins Visier nimmt:

• Gehaltsabrechnungsanwendungen wie Workday, Dayforce HCM und ADPsuite. Der Zugriff auf diese Systeme wird verwendet, um die Bankdaten für das kompromittierte Account zu manipulieren. 

• Customer Relationship Management (CRM) und IT Service Management (ITSM), wie Salesforce und ServiceNow. Der Zugriff auf diese Plattformen könnte zum Diebstahl von firmeneigenen Kundendaten, geistigem Eigentum oder zur Manipulation von IT-Support-Prozessen führen.

• Zusammenarbeit- und Produktivitätssuiten: Office 365 und Google Workspace. Der Zugriff auf diese Umgebungen bietet eine Fülle von Informationen, darunter interne Kommunikation, Dokumente und Anmeldedaten, was weitere Angriffe erleichtert.

Es wurde beobachtet, dass der Angreifer versucht, sich über eine Mischung aus Anonymisierungsdiensten und Wohn-IP-Adressen zu authentifizieren, und dies auch erfolgreich tut, z. B.:

• IPVANISH VPN

• CYBERGHOST VPN

• ZENMATE VPN

• EXPRESS VPN

• WINDSCRIBE VPN

• STARKE VPN-VERBINDUNG

• ZENLAYER

• In Nigeria lokalisierte IP-Adressen

Mehrere Betriebssysteme werden ebenfalls mit dieser Aktivität in Verbindung gebracht, einschließlich, aber nicht beschränkt auf:

• Mac OS 14.5.0 (Sonoma)

• Mac OS 15.5.0 (Sequoia)

• Mac OS 13.1.0 (Ventura)

• Windows 11

• iOS (iPhone)

Reaktion auf Bedrohungen

Was wir tun

Wir sind aktiv an den folgenden Aktivitäten beteiligt, um diese Bedrohung zu mindern:

• Kontinuierliche Überwachung der Aktivitäten des Angreifers.

• Bereitstellung von Anleitung und Unterstützung für Organisationen, um die Sicherheit ihrer Okta-Umgebungen zu verbessern und verdächtige Aktivitäten im Zusammenhang mit potenziell kompromittierten Konten zu untersuchen.

Schutzmaßnahmen

Empfehlungen

• Registrieren Sie Benutzer mit starken Authentifizierungsfaktoren wie Okta FastPass, FIDO2 WebAuthn und Smartcards und erzwingen Sie Phishing-Resistenz in der Richtlinie.

• Dokumentieren, propagieren und befolgen Sie einen standardisierten Prozess zur Validierung der Identität von Remote-Benutzern, die sich an das IT-Supportpersonal wenden, und umgekehrt. Erwägen Sie die Verwendung von Identitätsüberprüfungsdiensten, wenn Benutzer von Konten ausgesperrt werden.

• Wir empfehlen, benutzerdefinierte Administratorrollen für Servicemitarbeiter im First-Level-Support zu erstellen. Diese benutzerdefinierte Rolle sollte nicht über die Berechtigungen verfügen, die zum Ändern von Faktoren erforderlich sind (Benutzerpasswörter zurücksetzen, temporäre Passwörter festlegen oder Faktoren zurücksetzen oder registrieren). Diesen Servicemitarbeitern sollte stattdessen in ihrer benutzerdefinierten Rolle die Berechtigung erteilt werden, Temporary Access Codes auszustellen, nachdem ein Anrufer beim Helpdesk seine Identität erfolgreich verifiziert hat. Im Gegensatz zu einem Passwortzurücksetzungstoken kann ein temporärer Zugriffscode zeitgebunden sein (Ablaufdatum), bestimmten Benutzergruppen zugewiesen werden (NB: Administratoren und andere hochwertige Ziele ausschließen), mit anderen Authentifizierungsfaktoren verkettet werden und App-Anmelderichtlinien unterliegen, die seine Verwendung nach Gerät oder Standort einschränken.

• Okta-Authentifizierungsrichtlinien können auch verwendet werden, um den Zugriff auf Benutzerkonten basierend auf einer Reihe von vom Kunden konfigurierbaren Voraussetzungen einzuschränken. Wir empfehlen Administratoren, den Zugriff auf sensible Anwendungen auf Geräte zu beschränken, die von Endpoint-Management-Tools verwaltet und durch Endpoint-Sicherheitstools geschützt werden. Fordern Sie für den Zugriff auf weniger sensible Anwendungen registrierte Geräte (mit Okta FastPass) an, die Anzeichen grundlegender Sicherheitspraktiken aufweisen. 

• Verweigern Sie oder fordern Sie ein höheres Höchstmaß an Sicherheit für Anfragen aus selten genutzten Netzwerken an. Mit Okta Network Zones kann der Zugriff nach Standort, ASN (Autonomous System Number), IP und IP-Typ (der bekannte Anonymisierungs-Proxys identifizieren kann) gesteuert werden.

• Okta Behavior- und Risk-Evaluierungen können verwendet werden, um Anfragen für den Zugriff auf Anwendungen zu identifizieren, die von zuvor etablierten Mustern der Benutzeraktivität abweichen. Richtlinien können so konfiguriert werden, dass sie Anfragen mithilfe dieses Kontexts Step-up oder ablehnen.

• Schulen Sie die Benutzer, Indikatoren für verdächtige E-Mails, Phishing-Seiten und gängige Social-Engineering-Techniken zu erkennen, die von Angreifern verwendet werden. Erleichtern Sie es den Benutzern, potenzielle Probleme zu melden, indem Sie Endbenutzer-Benachrichtigungen und Meldungen über verdächtige Aktivitäten konfigurieren.

• Verwenden Sie einen Ansatz von "Zero Standing Privileges" für administrative Zugriffe. Weisen Sie Administratoren benutzerdefinierte Admin-Rollen mit den geringsten Berechtigungen zu, die für die täglichen Aufgaben erforderlich sind, und fordern Sie eine doppelte Autorisierung für JIT-Zugriff (Just-in-Time) auf privilegiertere Rollen an. 

• Wenden Sie IP Session Binding auf alle administrativen Apps an, um die Wiedergabe gestohlener administrativer Sitzungen zu verhindern.

• Aktivieren Sie Geschützte Aktionen, um eine erneute Authentifizierung zu erzwingen, wenn ein administrativer Benutzer versucht, sensible Aktionen durchzuführen.

Indikatoren für Kompromittierungen

Die Sicherheitskontakte von Okta-Kunden können sich Sign-in und Indicators of Compromise unter security.okta.com unter folgendem Link herunterladen:

https://security.okta.com/product/okta/help-desks-targeted-in-social-engineering-campaign-targeting-hr-applications