ShinyHunters团伙被指控针对Okta、微软和谷歌的SSO钓鱼攻击

ShinyHunters团伙声称对SSO账户钓鱼攻击负责

ShinyHunters勒索团伙已宣布对一系列针对主要身份提供商（包括Okta、微软和谷歌）的单点登录（SSO）账户的持续语音钓鱼（vishing）攻击负责。这些攻击使威胁行为者能够入侵企业SaaS平台，窃取敏感数据，并向受影响组织索取赎金。

攻击活动的技术细节

根据报告，威胁行为者正在利用语音钓鱼技术诱骗员工泄露SSO凭据。一旦获取这些凭据，攻击者便可未经授权访问企业SaaS应用，包括云存储、协作工具和内部数据库。ShinyHunters团伙以数据窃取和勒索闻名，若赎金要求未得到满足，通常会在暗网论坛上泄露被盗信息。

虽然初始入侵的具体方法尚不明确，防钓鱼多因素认证（MFA）和条件访问策略是抵御此类攻击的关键防御措施。安全研究人员强调，SSO凭据是高价值目标，因为它们可授予对多个企业系统的广泛访问权限。

组织面临的影响与风险

SSO账户被成功入侵可能导致：

• 未经授权访问敏感企业数据
• 在云环境中横向移动
• 数据窃取和勒索要求
• 声誉损害和监管处罚

鉴于被攻击平台（Okta、微软、谷歌）的高知名度，使用这些SSO解决方案的组织应假设风险增加，并优先采取主动威胁检测和响应措施。

推荐的缓解措施

安全团队建议采取以下措施：

1. 强制执行防钓鱼多因素认证（MFA）（如FIDO2安全密钥）用于所有SSO账户。
2. 监控异常登录尝试，特别是来自陌生位置或设备的登录。
3. 实施条件访问策略，根据风险因素限制访问权限。
4. 定期开展安全意识培训，帮助员工识别语音钓鱼和网络钓鱼攻击。
5. 审查和审计SSO配置，确保最小权限访问控制。

由于该攻击活动仍在持续，组织应保持警惕，并立即向其身份提供商和网络安全团队报告可疑活动。