0ktapus Phishing Kit

Киберпрестъпниците са успели да проникнат в над 130 организации като част от поредица от кибератаки. Престъпните операции започват с широко разпространена и добре изработена фишинг кампания, използваща фишинг комплект, наречен „0ktapus“. Според доклад на изследователи по сигурността, участниците в заплахата са успели да съберат близо 10 000 идентификационни данни за вход само за няколко месеца. Смята се, че операцията е била активна най-малко от март 2022 г. Целта на кампанията 0ktapus изглежда е била кражбата на идентификационни данни за Okta и кодове 2FA (двуфакторна авторизация). С получените поверителни данни киберпрестъпниците са имали за цел да извършат последващи операции, като атаки по веригата на доставки.

Според доклада комплектът за фишинг 0ktapus е бил използван срещу компании от множество индустриални сектори, включително финанси, крипто, технологии, набиране на персонал, телекомуникации и много други. Някои от набелязаните компании са AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy и други.

Атаките започват с примамливи SMS съобщения, съдържащи връзка към фишинг страница. Уебсайтът наподобява много легитимната страница за влизане в Okta и подканва потребителите да предоставят своите идентификационни данни за акаунта си и 2FA кодове. Okta е IDaaS (Identity-as-a-Service) платформа, което по същество означава, че служителите могат да използват един акаунт за влизане и идентификационни данни за достъп до всички софтуерни активи, от които се нуждаят в своята компания. Въведените идентификационни данни и 2FA кодове бяха изтрити от фалшивия сайт и предадени на акаунт в Telegram, контролиран от хакерите.

Естествено, компрометирането на идентификационните данни на Okta на целевите служители би позволило на нападателите да извършат широк набор от престъпни действия в рамките на нарушените организации. И те го направиха, като участниците в заплахата получиха достъп до корпоративни VPN, мрежи, вътрешни системи за поддръжка на клиенти и т.н. Събраните клиентски данни бяха използвани от киберпрестъпниците за извършване на атаки по веригата на доставки, насочени към клиентите на Signal и DigitalOcean.

Фишинг кампанията 0ktapus също доведе до пробиви на данни в големи организации, като Twilio, Klaviyo, MailChimp и опит за атака срещу Cloudflare. Досега изследователите са идентифицирали 169 уникални фишинг домейна, които заплахите са създали като част от операцията 0ktapus. Изфабрикуваните страници са проектирани да наподобяват подходящата тематика на всяка целева компания и на пръв поглед биха изглеждали като легитимните портали, използвани от жертвите ежедневно. Като част от атаката, участниците в заплахата са успели да съберат %6$s1 идентификационни данни от служители на 136 компании, 3129 записа с имейли и общо 5441 записа, съдържащи MFA кодове.