0ktapus Phishing Kit

Οι κυβερνοεγκληματίες έχουν καταφέρει να παραβιάσουν περισσότερους από 130 οργανισμούς ως μέρος μιας σειράς κυβερνοεπιθέσεων. Οι εγκληματικές επιχειρήσεις ξεκινούν με μια ευρεία και καλοφτιαγμένη εκστρατεία phishing που χρησιμοποιεί ένα κιτ phishing που ονομάζεται «0ktapus». Σύμφωνα με μια έκθεση ερευνητών ασφαλείας, οι παράγοντες της απειλής κατάφεραν να συλλέξουν σχεδόν 10.000 διαπιστευτήρια σύνδεσης σε μόλις δύο μήνες. Η επιχείρηση πιστεύεται ότι ήταν ενεργή τουλάχιστον από τον Μάρτιο του 2022. Στόχος της καμπάνιας 0ktapus φαίνεται να ήταν η κλοπή των διαπιστευτηρίων ταυτότητας της Okta και των κωδικών 2FA (εξουσιοδότηση δύο παραγόντων). Με τα εμπιστευτικά δεδομένα που αποκτήθηκαν, οι κυβερνοεγκληματίες στόχευαν να πραγματοποιήσουν μεταγενέστερες επιχειρήσεις, όπως επιθέσεις στην αλυσίδα εφοδιασμού.

Σύμφωνα με την έκθεση, το κιτ phishing 0ktapus χρησιμοποιήθηκε έναντι εταιρειών από πολλούς κλάδους της βιομηχανίας, συμπεριλαμβανομένων των χρηματοοικονομικών, της κρυπτογράφησης, της τεχνολογίας, των προσλήψεων, των τηλεπικοινωνιών και πολλών άλλων. Μερικές από τις στοχευμένες εταιρείες είναι οι AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy και άλλες.

Οι επιθέσεις ξεκινούν με δελεαστικά μηνύματα SMS που περιέχουν έναν σύνδεσμο προς μια σελίδα phishing. Ο ιστότοπος μοιάζει πολύ με τη νόμιμη σελίδα σύνδεσης της Okta και προτρέπει τους χρήστες να παράσχουν τα διαπιστευτήρια του λογαριασμού τους και τους κωδικούς 2FA. Το Okta είναι μια πλατφόρμα IDaaS (Identity-as-a-Service), που ουσιαστικά σημαίνει ότι οι εργαζόμενοι μπορούν να χρησιμοποιήσουν έναν μόνο λογαριασμό σύνδεσης και διαπιστευτήρια για πρόσβαση σε όλα τα στοιχεία λογισμικού που χρειάζονται στην εταιρεία τους. Τα εισαγόμενα διαπιστευτήρια και οι κωδικοί 2FA αφαιρέθηκαν από τον ψεύτικο ιστότοπο και μεταδόθηκαν σε λογαριασμό Telegram που ελέγχεται από τους χάκερ.

Φυσικά, η διακύβευση των διαπιστευτηρίων της Okta των στοχευόμενων υπαλλήλων θα επέτρεπε στους επιτιθέμενους να εκτελέσουν ένα ευρύ φάσμα κακόβουλων ενεργειών εντός των οργανισμών που παραβιάστηκαν. Και το έκαναν, με τους φορείς απειλών να αποκτούν πρόσβαση σε εταιρικά VPN, δίκτυα, εσωτερικά συστήματα υποστήριξης πελατών, κ.λπ. Τα δεδομένα πελατών που συλλέχθηκαν αξιοποιήθηκαν από τους κυβερνοεγκληματίες για να πραγματοποιήσουν επιθέσεις εφοδιαστικής αλυσίδας με στόχο τους πελάτες της Signal και της DigitalOcean.

Η εκστρατεία phishing 0ktapus οδήγησε επίσης σε παραβιάσεις δεδομένων σε σημαντικούς οργανισμούς, όπως οι Twilio, Klaviyo, MailChimp και μια απόπειρα επίθεσης κατά του Cloudflare. Μέχρι στιγμής, οι ερευνητές έχουν εντοπίσει 169 μοναδικούς τομείς ηλεκτρονικού «ψαρέματος» (phishing) που δημιούργησαν οι παράγοντες απειλής ως μέρος της λειτουργίας 0ktapus. Οι κατασκευασμένες σελίδες σχεδιάστηκαν έτσι ώστε να μοιάζουν με το κατάλληλο θέμα κάθε στοχευμένης εταιρείας και, με την πρώτη ματιά, φαινόταν ότι είναι οι νόμιμες πύλες που χρησιμοποιούν τα θύματα καθημερινά. Στο πλαίσιο της επίθεσης, οι παράγοντες της απειλής κατάφεραν να συλλέξουν 9.931 διαπιστευτήρια από υπαλλήλους 136 εταιρειών, 3.129 αρχεία με email και συνολικά 5.441 αρχεία που περιέχουν κωδικούς MFA.