0ktapus Phishing Kit

مجرمان سایبری موفق شده اند به عنوان بخشی از یک رشته حملات سایبری به بیش از 130 سازمان نفوذ کنند. عملیات جنایی با یک کمپین فیشینگ گسترده و خوش ساخت با استفاده از کیت فیشینگ به نام '0ktapus' آغاز می شود. بر اساس گزارشی که توسط محققان امنیتی انجام شده است، عوامل تهدید توانسته اند تنها در چند ماه نزدیک به 10000 اعتبار ورود به سیستم را جمع آوری کنند. اعتقاد بر این است که این عملیات حداقل از مارس 2022 فعال بوده است. به نظر می رسد هدف کمپین 0ktapus سرقت اطلاعات هویتی Okta و کدهای 2FA (مجوز دو عاملی) بوده است. با داده‌های محرمانه به‌دست‌آمده، مجرمان سایبری قصد داشتند عملیات‌های بعدی مانند حملات زنجیره تامین را انجام دهند.

بر اساس این گزارش، کیت فیشینگ 0ktapus بر علیه شرکت‌هایی از بخش‌های مختلف صنعتی، از جمله مالی، ارزهای دیجیتال، فناوری، استخدام، مخابرات و بسیاری موارد دیگر استفاده شده است. برخی از شرکت های هدف عبارتند از AT&T، T-Mobile، Verizon Wireless، Slack، Binance، CoinBase، Twitter، Microsoft، Riot Games، Epic Games، HubSpot، Best Buy و دیگران.

حملات با پیامک های فریبنده حاوی پیوند به یک صفحه فیشینگ آغاز می شود. این وب‌سایت شباهت زیادی به صفحه ورود قانونی Okta دارد و از کاربران می‌خواهد اعتبار حساب و کدهای 2FA را ارائه کنند. Okta یک پلتفرم IDaaS (Identity-as-a-Service) است که اساساً به این معنی است که کارمندان می توانند از یک حساب ورود و اعتبار برای دسترسی به تمام دارایی های نرم افزاری مورد نیاز خود در شرکت خود استفاده کنند. اطلاعات کاربری وارد شده و کدهای 2FA توسط سایت جعلی خراشیده شده و به یک حساب تلگرامی که توسط هکرها کنترل می شود منتقل شده است.

به طور طبیعی، به خطر انداختن اعتبار Okta کارکنان هدف به مهاجمان اجازه می دهد تا طیف گسترده ای از اقدامات شرورانه را در سازمان های نقض شده انجام دهند. و آنها این کار را انجام دادند، با دسترسی عوامل تهدید به VPN های شرکتی، شبکه ها، سیستم های پشتیبانی مشتری داخلی، و غیره. داده های جمع آوری شده مشتری توسط مجرمان سایبری برای انجام حملات زنجیره تامین که مشتریان سیگنال و DigitalOcean را هدف قرار می دادند، مورد سوء استفاده قرار گرفتند.

کمپین فیشینگ 0ktapus همچنین منجر به نقض اطلاعات در سازمان‌های بزرگی مانند Twilio، Klaviyo، MailChimp و تلاش برای حمله به Cloudflare شده است. تاکنون، محققان 169 حوزه فیشینگ منحصر به فرد را شناسایی کرده اند که عوامل تهدید به عنوان بخشی از عملیات 0ktapus ایجاد کرده اند. صفحات ساخته شده به گونه‌ای طراحی شده‌اند که شبیه مضمون مناسب هر شرکت مورد نظر باشد و در نگاه اول، به نظر می‌رسد که پورتال‌های قانونی مورد استفاده قربانیان روزانه باشند. به عنوان بخشی از این حمله، عوامل تهدید موفق به جمع‌آوری %6$s1 اعتبار از کارکنان 136 شرکت، 3129 پرونده با ایمیل و در مجموع 5441 پرونده حاوی کدهای MFA شده‌اند.