I en alarmerande cyberattack incident har en spear phishing attack mot programleverantören Retool satt kryptocurrency tillgångar värda $15 miljoner i fara. Angriparen manipulerade användar-e-post och lösenord på Retool och påverkade 27 konton, men Retools on-premise kunder påverkades inte av detta intrång.
Avslöjande av den bedrägliga spear phishing attacken
Den 27 augusti blev Retool, en välrenommerad programplattform, målet för en välorganiserad spear phishing attack. Denna attack resulterade i obehörig åtkomst för några av Retools molnkunder. Angriparen genomförde på ett kläkt sätt en SMS-baserad phishingattack där de utgav sig för att vara en medlem av IT-teamet till Retools anställda.
Angriparen använde en bedräglig förevändning och påstod sig lösa ett problem relaterat till lönesystem och öppen registrering, vilket utnyttjade en kritisk oro för anställda – sjukförsäkring. Attacken var välplanerad och sammanföll med migrationen av inloggningar till Okta, och meddelandet innehöll en URL som imiterade Retools interna identitetsportal.
En närmare titt på phishingattacken
Även om de flesta anställda inte interagerade med det bedrägliga meddelandet klickade en olycklig anställd på länken, vilket ledde till en falsk portal med flerfaktorsautentisering (MFA). Angriparen inledde sedan ett telefonsamtal med anställda och använde en deepfake-röst för att utge sig för att vara en medlem av Retools IT-team. Trots växande misstankar delade den anställde ytterligare en MFA-kod, vilket tillät angriparen att lägga till sin enhet i den anställdes Okta-konto.
Detta gav angriparen åtkomst till en aktiv GSuite-session. Intressant nog hade Google nyligen infört en funktion som synkroniserar MFA-koder till molnet, vilket kan kompromettera säkerheten. Angriparen utnyttjade denna sårbarhet, underlättad av Googles mörka mönster som främjade synkronisering av MFA-koder.
Efterdyningarna av attacken
Konsekvenserna av intrånget spred sig till Retools interna system, inklusive VPN och administrativa system, vilket möjliggjorde ett kontoövertagande av specifika kunder, främst inom kryptobranschen. Totalt ändrade angriparen användar-e-post och återställde lösenord, vilket påverkade 27 konton.
När intrånget upptäcktes agerade Retool snabbt. De återkallade alla interna autentiserade sessioner, säkrade påverkade konton, meddelade drabbade kunder och återställde deras konton till deras ursprungliga tillstånd. Det bör noteras att Retools on-premise kunder förblev opåverkade, eftersom det on-premise systemet fungerar oberoende av Retools molnmiljö.
Retool bekräftade att de aktivt samarbetade med rättsvårdande myndigheter och ett tredjeparts forensiksföretag för att undersöka intrånget. Detta incident fungerar som en påminnelse om vikten av ständig vaksamhet och robusta säkerhetsåtgärder i den digitala världen, särskilt för dem som är involverade inom kryptobranschen. För att hålla koll på dina krypto-investeringar och hålla dig uppdaterad om de senaste cybersäkerhetshoten kan du använda applikationer som cryptoview.io.
handlingsinriktad text
