Resumo Executivo
A Inteligência de Ameaças da Okta tem monitorado ativamente um grupo de atividades com motivação financeira conhecido como O-UNC-034 desde agosto de 2025, que se aproveita da engenharia social da equipe de suporte técnico para assumir contas e manipular dados em sistemas de folha de pagamento.
O-UNC-034 foi observado visando funcionários de organizações que operam em diferentes setores, incluindo, entre outros, Educação, Manufatura e Indústria, Varejo e Serviços ao Consumidor, e Produtos Farmacêuticos e Saúde. É um dos vários grupos de atividades rastreados pelo Okta Threat Intelligence e outros pesquisadores de ameaças que visam aplicativos de RH e folha de pagamento. Variações sobre este tema incluem o uso de *malvertising* (O-TA-54) e *AitM phishing* (STORM-2657).
O objetivo principal de O-UNC-034 é manipular os dados bancários associados a usuários-alvo em sistemas de RH e serviços relacionados à folha de pagamento.
Este aviso detalha as Táticas, Técnicas e Procedimentos (TTPs) observados e fornece Indicadores de Comprometimento (IOCs) relevantes associados a esta ameaça ativa.
Estas informações são fornecidas para fins informativos e de inteligência, para permitir que as organizações compreendam e mitiguem os riscos representados por esta campanha.
Análise de Ameaças
O agente de ameaças está utilizando técnicas de engenharia social, se passando por funcionários legítimos.
Para o Acesso Inicial, o agente de ameaça foi observado iniciando contato com a central de ajuda de TI da empresa-alvo, se passando por um funcionário. Eles usam essa personificação para solicitar redefinições de senha para a conta do funcionário.
Após um evento de redefinição de senha bem-sucedido, o agente de ameaça estabelece persistência ao registrar seu próprio autenticador MFA na conta comprometida. Observou-se que o agente de ameaça se inscreve no Okta Verify, autenticação por chamada de voz, SMS ou manipula perguntas de segurança, permitindo que o agente de ameaça ignore a autenticação multifatorial (MFA) ou outros controles de segurança.
Após um comprometimento de conta bem-sucedido, o agente se volta para aplicativos internos, visando especificamente:
Aplicativos de folha de pagamento como Workday, Dayforce HCM e ADPsuite. O acesso a estes sistemas é utilizado para manipular os dados bancários da conta comprometida.
Gerenciamento de relacionamento com o cliente (CRM) e gerenciamento de serviços de TI (ITSM), como Salesforce e ServiceNow. O acesso a essas plataformas pode levar ao roubo de dados de clientes proprietários, propriedade intelectual ou manipulação de processos de suporte de TI.
Suítes de Colaboração e Produtividade: Office 365 e Google Workspace. O acesso a esses ambientes fornece uma grande quantidade de informações, incluindo comunicações internas, documentos e credenciais, facilitando outros ataques.
O agente de ameaças foi observado tentando e autenticando com sucesso, a partir de uma combinação de serviços de anonimato e endereços IP residenciais, como:
IPVANISH VPN
CYBERGHOST VPN
ZENMATE VPN
EXPRESS VPN
WINDSCRIBE VPN
VPN FORTE
ZENLAYER
Endereços IP geolocalizados na Nigéria
Vários sistemas operacionais também estão associados a esta atividade, incluindo, entre outros:
Mac OS 14.5.0 (Sonoma)
Mac OS 15.5.0 (Sequoia)
Mac OS 13.1.0 (Ventura)
Windows 11
iOS (iPhone)
resposta a ameaças
O que estamos fazendo
Estamos ativamente engajados nas seguintes atividades para mitigar essa ameaça:
Monitoramento contínuo da atividade do agente de ameaças.
Fornecer orientação e assistência às organizações para aprimorar a segurança de seus ambientes Okta e investigar qualquer atividade suspeita relacionada a contas potencialmente comprometidas.
Controles de Proteção
Recomendações
Incentive os usuários a se registrarem em autenticadores fortes, como Okta FastPass, FIDO2 WebAuthn e cartões inteligentes, e aplique a resistência ao phishing na política.
Documente, divulgue e siga um processo padronizado para validar a identidade de usuários remotos que entram em contato com a equipe de suporte de TI e vice-versa. Considere o uso de serviços de verificação de identidade quando os usuários estiverem bloqueados fora de suas contas.
Recomendamos a criação de funções de administrador personalizadas para profissionais de help desk de linha de frente. Esta função personalizada não deve ter as permissões necessárias para modificar fatores (redefinir senhas de usuário, definir senhas temporárias ou redefinir ou inscrever fatores). Em vez disso, esses profissionais de help desk devem receber em sua função personalizada a permissão para emitir Códigos de Acesso Temporário depois que um chamador para o help desk verificar com sucesso sua identidade. Ao contrário de um token de redefinição de senha, um código de acesso temporário pode ter tempo limitado (sujeito a expiração), ser atribuído a grupos específicos de usuários (NB: excluir administradores e outros alvos de alto valor), encadeado a outros autenticadores e sujeito a políticas de acesso de app que restringem seu uso por dispositivo ou local.
As políticas de autenticação do Okta também podem ser usadas para restringir o acesso a contas de usuário com base em uma variedade de pré-requisitos configuráveis pelo cliente. Recomendamos que os administradores restrinjam o acesso a aplicativos confidenciais a dispositivos que são gerenciados por ferramentas de Endpoint Management e protegidos por ferramentas de segurança de *endpoint*. Para acesso a aplicativos menos confidenciais, exija dispositivos registrados (usando o Okta FastPass) que exibam indicadores de higiene básica.
Negue ou exija maior garantia para solicitações de redes raramente usadas. Com as Zonas de Rede Okta, o acesso pode ser controlado por local, ASN (Número de Sistema Autônomo), IP e Tipo de IP (que pode identificar proxies de anonimato conhecidos).
As avaliações de comportamento e risco da Okta podem ser usadas para identificar solicitações de acesso a aplicativos que se desviam de padrões de atividade do usuário previamente estabelecidos. As políticas podem ser configuradas para aumento de nível ou negar solicitações usando este contexto.
Treine os usuários para identificar indicadores de e-mails suspeitos, sites de phishing e técnicas comuns de engenharia social usadas por invasores. Facilite para os usuários relatarem problemas potenciais, configurando as Notificações para o Usuário Final e o Relatório de Atividade Suspeita.
Adote uma abordagem de "Zero privilégios permanentes" para acesso administrativo. Atribua aos administradores Funções de Administrador Personalizadas com as permissões mínimas necessárias para as tarefas diárias e exija autorização dupla para acesso JIT (just-in-time) a funções mais privilegiadas.
Aplique o IP Session Binding a todos os aplicativos administrativos para impedir a reprodução de sessões administrativas roubadas.
Ative Ações Protegidas para forçar a reautenticação sempre que um usuário administrativo tentar executar ações confidenciais.
Indicadores de Comprometimento
Os contatos de segurança dos clientes da Okta podem fazer login e baixar os Indicadores de Comprometimento de security.okta.com no seguinte link:
https://security.okta.com/product/okta/help-desks-targeted-in-social-engineering-campaign-targeting-hr-applications
Uma nota sobre a linguagem de estimativa
As equipes de Okta Threat Intelligence usam os seguintes termos para expressar a probabilidade, conforme descrito na Diretiva 203 da Comunidade de Inteligência do Gabinete do Diretor de Inteligência Nacional dos EUA - Padrões Analíticos.
| Probabilidade | Quase nenhuma chance | Muito improvável | Improvável | Aproximadamente igual probabilidade | Provável | Muito provável | Quase certo(a) |
|---|---|---|---|---|---|---|---|
| Probabilidade | Remoto | Altamente improvável | Improbable | Aproximadamente mesmas chances | Provável | Altamente Provável | Quase Certeza |
| Porcentagem | 1-5% | 5-20% | 20-45% | 45-55% | 55-80% | 80-95% | 95-99% |
