0ktapus Phishing Kit

تمكن مجرمو الإنترنت من اختراق أكثر من 130 منظمة كجزء من سلسلة من الهجمات الإلكترونية. تبدأ العمليات الإجرامية بحملة تصيد واسعة النطاق ومصممة جيدًا باستخدام مجموعة التصيد الاحتيالي المسماة "0ktapus". وفقًا لتقرير صادر عن باحثين أمنيين ، تمكن المهاجمون من جمع ما يقرب من 10000 من بيانات اعتماد تسجيل الدخول في غضون شهرين فقط. يُعتقد أن العملية كانت نشطة منذ مارس 2022 على الأقل. يبدو أن الهدف من حملة 0ktapus كان سرقة بيانات اعتماد هوية Okta وأكواد 2FA (التفويض الثنائي). مع البيانات السرية التي تم الحصول عليها ، كان مجرمو الإنترنت يهدفون إلى تنفيذ عمليات لاحقة ، مثل هجمات سلسلة التوريد.

وفقًا للتقرير ، تم الاستفادة من مجموعة التصيد 0ktapus ضد شركات من قطاعات صناعية متعددة ، بما في ذلك التمويل والتشفير والتكنولوجيا والتوظيف والاتصالات السلكية واللاسلكية وغيرها الكثير. بعض الشركات المستهدفة هي AT&T و T-Mobile و Verizon Wireless و Slack و Binance و CoinBase و Twitter و Microsoft و Riot Games و Epic Games و HubSpot و Best Buy وغيرها.

تبدأ الهجمات بإغراء رسائل SMS تحتوي على رابط إلى صفحة تصيد. يشبه موقع الويب عن كثب صفحة تسجيل الدخول إلى Okta الشرعية ويطلب من المستخدمين تقديم بيانات اعتماد حساباتهم ورموز 2FA. Okta عبارة عن منصة IDaaS (الهوية كخدمة) ، مما يعني بشكل أساسي أنه يمكن للموظفين استخدام حساب تسجيل دخول واحد وبيانات اعتماد للوصول إلى جميع أصول البرامج التي يحتاجونها داخل شركتهم. تم إلغاء بيانات الاعتماد المدخلة ورموز 2FA بواسطة الموقع المزيف ونقلها إلى حساب Telegram الذي يتحكم فيه المتسللون.

بطبيعة الحال ، فإن المساس ببيانات اعتماد Okta للموظفين المستهدفين سيسمح للمهاجمين بأداء مجموعة واسعة من الإجراءات الشائنة داخل المنظمات المخترقة. وقد فعلوا ذلك ، مع وصول الجهات الفاعلة في التهديد إلى شبكات VPN للشركات ، والشبكات ، وأنظمة دعم العملاء الداخلية ، وما إلى ذلك ، تم استغلال بيانات العملاء المجمعة من قبل مجرمي الإنترنت لتنفيذ هجمات سلسلة التوريد التي تستهدف عملاء Signal و DigitalOcean.

أدت حملة التصيد الاحتيالي 0ktapus أيضًا إلى حدوث خروقات للبيانات في المؤسسات الكبرى ، مثل Twilio و Klaviyo و MailChimp ومحاولة هجوم ضد Cloudflare. حتى الآن ، حدد الباحثون 169 مجالًا فريدًا للتصيد الاحتيالي أنشأه ممثلو التهديد كجزء من عملية 0ktapus. تم تصميم الصفحات الملفقة بحيث تشبه التصميم المناسب لكل شركة مستهدفة ، وستبدو للوهلة الأولى أنها البوابات الشرعية التي يستخدمها الضحايا يوميًا. كجزء من الهجوم ، تمكنت الجهات الفاعلة في التهديد من جمع 9،931 مستند اعتماد من موظفي 136 شركة ، و 3129 سجلًا مع رسائل بريد إلكتروني ، وما مجموعه 5441 سجلًا تحتوي على رموز MFA.