Malvertising- und Phishing-Angriffe zielen auf Gehalts-Accounts ab

Management-Zusammenfassung

Okta Threat Intelligence verfolgt seit August 2024 aktiv einen finanziell motivierten Angreifer, der als O-TA-054 (auch bekannt als Payroll Pirates) bekannt ist. 

O-TA-054 nutzt Phishing-Kampagnen, um Mitarbeiter von Organisationen in verschiedenen Branchen anzugreifen, darunter auch Okta-Kunden. Diese Kampagnen verwenden Köder, die Bank-, Personalressourcen- (HR) und Mitarbeiter-Bonus-Anwendungen sowie staatliche Self-Service-Websites imitieren. Die Verbreitung dieser Phishing-Seiten erfolgt über bösartige Google-Anzeigen (Malvertising)[1]. 

Das Hauptziel von O-TA-054 ist die Manipulation der Bankdaten von Opfern in HR-Systemen und gehaltsbezogenen Diensten, Arbeitslosengeldprogrammen, Gesundheitsspar-Accounts und Altersvorsorge-Accounts, um die Gelder der Opfer zu stehlen [2]. 

In einer Kampagne vom April 2025 nutzte O-TA-054 Phishing-Seiten, die das Okta Sign-In Widget der Zielorganisationen imitierten. Dies ermöglichte es dem Angreifer, Anmeldedaten zu stehlen und die Accounts von Mitarbeitern zu übernehmen, um dann Workday-Anwendungen anzugreifen, mit dem Ziel, Bankdaten zu manipulieren, um Gehälter umzuleiten. 

Dieses Advisory beschreibt die beobachteten Taktiken, Techniken und Prozeduren (TTPs) und liefert relevante Indicators of Compromise (IOCs) im Zusammenhang mit dieser aktiven Bedrohung.

Bedrohungsanalyse

Die Analyse der Kampagne vom April 2025 hat die folgende Infrastruktur identifiziert, die zum Hosten der bösartigen Phishing-Seiten verwendet wurde, welche ein gefälschtes Okta Sign-In Widget präsentieren:

• 172.67.148[.]2 - AS13335 - Cloudflare, Inc.
• 77.37.76[.]235 - AS47583 - Hostinger International Limited
• 67.205.29[.]179 - AS26347 - New Dream Network, LLC
• 147.93.54[.]103 - AS47583 - Hostinger International Limited
• 178.218.166[.]217 - AS12417 - Plus Hosting Grupa d.o.o.

Gehackter Account Aktivitäten:

Nach erfolgreicher Kompromittierung von Anmeldedaten wurden die Angreifer bei dem Versuch und der erfolgreichen Authentifizierung von den folgenden IP-Adressen aus beobachtet:

• 104.136.213[.]185 - AS33363 - Charter Communications, Inc
• 12.183.232[.]42 - AS7018 - AT&T Enterprises, LLC
• 160.7.237[.]192 - AS36223 - Spanish Fork City
• 162.251.115[.]229 - AS11059 - MIFFLIN COUNTY WIRELESS LLC
• 168.235.210[.]141 - AS13428 - Surf Air Wireless, LLC
• 172.220.33[.]240 - AS20115 - Charter Communications LLC
• 174.68.140[.]219 - AS22773 - Cox Communications Inc.
• 212.102.44[.]112 - AS60068 - Datacamp Limited
• 45.48.112[.]118 - AS20001 - Charter Communications Inc
• 45.49.235[.]225 - AS20001 - Charter Communications Inc
• 71.224.199[.]104 - AS7922 - Comcast Cable Communications, LLC
• 74.101.135[.]58 - AS701 - Verizon Business
• 98.54.180[.]132 - AS7922 - Comcast Cable Communications, LLC

Der Angreifer verwendet eine Mischung aus VPN- und Residential-Proxy-IP-Adressen, wenn er sich bei kompromittierten Konten anmeldet, um die Anonymität zu erhöhen und traditionelle Erkennungsmechanismen zu umgehen.

Nachdem der Angreifer den Account des Mitarbeiters kompromittiert hatte, wechselte er zu Workday und aktualisierte die Bankdaten, um dessen Gehalt umzuleiten.

Merkmale des Phishing-Kits:

• Das analysierte Phishing-Kit scheint relativ einfach zu sein und konzentriert sich auf die direkte Erfassung von Anmeldedaten ohne die Implementierung eines Adversary-in-the-Middle (AitM)-Proxys.
• Die Phishing-Seiten befinden sich oft im Directory /online/. Das Stamm-Directory hostet oft eine harmlose Landingpage mit thematischen Variationen (z. B. Einzelhandel, Belegschaft, Belohnung), von denen wir annehmen, dass sie auf die Zielorganisation zugeschnitten sind, möglicherweise als eine Form der Verschleierung.
• Die Phishing-Seite ist angeblich so konzipiert, dass sie verschiedene MFA-Methoden verarbeiten kann: Telefon (SMS und Anruf), Okta Code und Okta Push, wobei je nach Benutzerinteraktion unterschiedliche Abschnitte angezeigt werden.
• Nach dem Anklicken des Buttons „Anmeldung“ erfasst das Skript den Benutzernamen und das Passwort und sendet sie per POST-Request an xxx.php.
• Nach der ersten Anmeldung fragt das Skript den Endpoint check.php regelmäßig ab, um die nächste Phase zu bestimmen.
• Basierend auf der Antwort von check.php wird der Benutzer entweder nach einer MFA-Methode gefragt oder, wenn ein Fehler auftritt, die Seite neu geladen.
• Der Polling-Mechanismus mit check.php deutet auf eine serverseitige Komponente hin, die den Anmelde- und MFA-Prozess verfolgt.
• JavaScript und AJAX werden für die Kernfunktionalität der Phishing-Seite und die Kommunikation mit der Infrastruktur des Angreifers verwendet.

Hintergrund

O-TA-054 hat aktiv Organisationen in verschiedenen Branchen ins Visier genommen, darunter Großhandel, Finanz- und Bankwesen, Einzelhandel, Bauwesen und Ingenieurwesen, Transportwesen und Regierungsstellen. Unsere Analyse deutet auf einen deutlichen Fokus auf den Finanz- und Bankensektor, Personal- und Gehaltsabrechnungsdienste sowie Self-Service-Websites von Regierungsbehörden hin.

Die Taktik der Angreifer umfasst die Erstellung von Phishing-Sites, die die Anmeldeseiten der Zielorganisationen nachahmen, sowie Anmeldeseiten von HR- und gehaltsbezogenen Diensten wie MyPAU, Kaiser HR (Kaiser-Mitarbeiterportal), PrimePoint HR, Streamline Payroll, Dayforce und HCMBamboo HR. Dieser Fokus unterstreicht die Absicht des Angreifers, Mitarbeiterdaten und Finanzinformationen auszunutzen.

Was wir tun

Wir sind aktiv an den folgenden Aktivitäten beteiligt, um diese Bedrohung zu mindern:

• Kontinuierliche Überwachung auf neu registrierte Phishing-Domains und Infrastruktur, die mit dieser Kampagne verbunden sind.
• Proaktives Einreichen von Missbrauchsmeldungen bei relevanten Registraren und Hosting-Providern, um Anträge auf Entfernung identifizierter schädlicher Websites einzuleiten.
• Bereitstellung von Anleitung und Unterstützung für Organisationen, um die Sicherheit ihrer Okta-Umgebungen zu verbessern und verdächtige Aktivitäten im Zusammenhang mit potenziell kompromittierten Konten zu untersuchen.

Kundenempfehlungen

Schutzmaßnahmen:

• Registrieren Sie Benutzer mit starken Authentifizierungsfaktoren wie Okta FastPass, FIDO2 WebAuthn und Smartcards und erzwingen Sie Phishing-Resistenz in der Richtlinie.
• Okta-Authentifizierungsrichtlinien können auch verwendet werden, um den Zugriff auf User Accounts basierend auf einer Reihe von vom Kunden konfigurierbaren Voraussetzungen einzuschränken. Wir empfehlen Administratoren, den Zugriff auf sensible Anwendungen auf Geräte zu beschränken, die von Endpoint-Management-Tools verwaltet und durch Endpoint-Security-Tools geschützt werden. Für den Zugriff auf weniger sensible Anwendungen sind registrierte Geräte (mit Okta FastPass) erforderlich, die Indikatoren für grundlegende Hygiene aufweisen.
• Verweigern Sie Anfragen aus selten genutzten Netzwerken oder fordern Sie eine höhere Sicherheit an. Mit Okta Network Zones kann der Zugriff nach Standort, ASN (Autonomous System Number), IP und IP-Typ (der bekannte Anonymisierungs-Proxys identifizieren kann) gesteuert werden.
• Okta Behavior- und Risk-Evaluierungen können verwendet werden, um Anfragen für den Zugriff auf Anwendungen zu identifizieren, die von zuvor etablierten Mustern der Benutzeraktivität abweichen. Richtlinien können so konfiguriert werden, dass sie Anfragen mithilfe dieses Kontexts Step-up oder ablehnen.
• Schulen Sie die Benutzer, Indikatoren für verdächtige E-Mails, Phishing-Seiten und gängige Social-Engineering-Techniken zu erkennen, die von Angreifern verwendet werden. Erleichtern Sie es den Benutzern, potenzielle Probleme zu melden, indem Sie Endbenutzer-Benachrichtigungen und Meldungen über verdächtige Aktivitäten konfigurieren.

Wir sind aktiv an den folgenden Aktivitäten beteiligt, um diese Bedrohung zu mindern:

• Dokumentieren, propagieren und befolgen Sie einen standardisierten Prozess zur Validierung der Identität von Remote-Benutzern, die sich an das IT-Supportpersonal wenden, und umgekehrt. Verfolgen Sie beim administrativen Zugriff den Ansatz „Null bestehende Berechtigungen“. Weisen Sie Administratoren benutzerdefinierte Administratorrollen mit den geringsten Berechtigungen zu, die für die täglichen Aufgaben erforderlich sind, und verlangen Sie eine doppelte Autorisierung für den JIT-Zugriff (Just-in-Time) auf privilegiertere Rollen.
• Wenden Sie IP-Session-Binding auf alle administrativen Apps an, um die Wiedergabe gestohlener administrativer Sitzungen zu verhindern.
• Aktivieren Sie Geschützte Aktionen, um eine erneute Authentifizierung zu erzwingen, wenn ein administrativer Benutzer versucht, sensible Aktionen durchzuführen.

Beobachtung und Reaktion auf Phishing-Infrastruktur:

• Überprüfen Sie die Anwendungsprotokolle (Okta-Protokolle, Webproxys, E-Mail-Systeme, DNS-Server, Firewalls) auf Beweise für die Kommunikation mit solchen verdächtigen Domänen.
• Überwachen Sie die Domains regelmäßig, um zu sehen, ob sich die Inhalte ändern.

Wenn auf der Domain gehostete Inhalte Urheberrechte oder Schutzmarken verletzen, sollten Sie in Erwägung ziehen, Beweise vorzulegen und eine Aufforderung zur Entfernung beim Domain-Registrar und/oder Webhosting-Provider einzureichen.

Anhang A: Indicators of Compromise