0ktapus Phishing Kit

Kyberzločincům se v rámci řady kybernetických útoků podařilo prolomit více než 130 organizací. Zločinné operace začínají rozsáhlou a dobře vytvořenou phishingovou kampaní využívající phishingovou sadu s názvem '0ktapus'. Podle zprávy bezpečnostních výzkumníků byli aktéři hrozeb schopni shromáždit téměř 10 000 přihlašovacích údajů za pouhých pár měsíců. Předpokládá se, že operace byla aktivní minimálně od března 2022. Zdá se, že cílem kampaně 0ktapus byla krádež identifikačních údajů Okta a kódů 2FA (dvoufaktorová autorizace). Se získanými důvěrnými údaji se kyberzločinci zaměřili na provedení následných operací, jako jsou útoky na dodavatelský řetězec.

Podle zprávy byla phishingová sada 0ktapus využita proti společnostem z různých průmyslových odvětví, včetně financí, kryptoměn, technologií, náboru, telekomunikací a mnoha dalších. Některé z cílových společností jsou AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy a další.

Útoky začínají lákacími SMS zprávami obsahujícími odkaz na phishingovou stránku. Web se velmi podobá legitimní přihlašovací stránce Okta a vyzývá uživatele, aby poskytli přihlašovací údaje k účtu a kódy 2FA. Okta je platforma IDaaS (Identity-as-a-Service), což v podstatě znamená, že zaměstnanci mohou používat jeden přihlašovací účet a přihlašovací údaje pro přístup ke všem softwarovým aktivům, které v rámci své společnosti potřebují. Zadané přihlašovací údaje a kódy 2FA byly seškrábnuty falešnou stránkou a přeneseny na účet Telegramu kontrolovaný hackery.

Přirozeně, kompromitace pověření Okta cílových zaměstnanců by útočníkům umožnila provádět širokou škálu nekalých akcí v napadených organizacích. A také to udělali, přičemž aktéři hrozeb získali přístup k podnikovým VPN, sítím, interním systémům zákaznické podpory atd. Shromážděná zákaznická data zneužili kyberzločinci k provedení útoků na dodavatelský řetězec zaměřených na klienty Signal a DigitalOcean.

Phishingová kampaň 0ktapus také vedla k narušení dat ve velkých organizacích, jako jsou Twilio, Klaviyo, MailChimp a k pokusu o útok proti Cloudflare. Vědci zatím identifikovali 169 unikátních phishingových domén, které aktéři hrozeb vytvořili v rámci operace 0ktapus. Vymyšlené stránky byly navrženy tak, aby připomínaly vhodné téma každé cílové společnosti a na první pohled by se jevily jako legitimní portály, které oběti denně používají. V rámci útoku se aktérům hrozeb podařilo shromáždit %6$s1 přihlašovacích údajů od zaměstnanců 136 společností, 3129 záznamů s e-maily a celkem 5441 záznamů obsahujících MFA kódy.