0ktapus Phishing Kit
مجرمان سایبری موفق شده اند به عنوان بخشی از یک رشته حملات سایبری به بیش از 130 سازمان نفوذ کنند. عملیات جنایی با یک کمپین فیشینگ گسترده و خوش ساخت با استفاده از کیت فیشینگ به نام '0ktapus' آغاز می شود. بر اساس گزارشی که توسط محققان امنیتی انجام شده است، عوامل تهدید توانسته اند تنها در چند ماه نزدیک به 10000 اعتبار ورود به سیستم را جمع آوری کنند. اعتقاد بر این است که این عملیات حداقل از مارس 2022 فعال بوده است. به نظر می رسد هدف کمپین 0ktapus سرقت اطلاعات هویتی Okta و کدهای 2FA (مجوز دو عاملی) بوده است. با دادههای محرمانه بهدستآمده، مجرمان سایبری قصد داشتند عملیاتهای بعدی مانند حملات زنجیره تامین را انجام دهند.
بر اساس این گزارش، کیت فیشینگ 0ktapus بر علیه شرکتهایی از بخشهای مختلف صنعتی، از جمله مالی، ارزهای دیجیتال، فناوری، استخدام، مخابرات و بسیاری موارد دیگر استفاده شده است. برخی از شرکت های هدف عبارتند از AT&T، T-Mobile، Verizon Wireless، Slack، Binance، CoinBase، Twitter، Microsoft، Riot Games، Epic Games، HubSpot، Best Buy و دیگران.
حملات با پیامک های فریبنده حاوی پیوند به یک صفحه فیشینگ آغاز می شود. این وبسایت شباهت زیادی به صفحه ورود قانونی Okta دارد و از کاربران میخواهد اعتبار حساب و کدهای 2FA را ارائه کنند. Okta یک پلتفرم IDaaS (Identity-as-a-Service) است که اساساً به این معنی است که کارمندان می توانند از یک حساب ورود و اعتبار برای دسترسی به تمام دارایی های نرم افزاری مورد نیاز خود در شرکت خود استفاده کنند. اطلاعات کاربری وارد شده و کدهای 2FA توسط سایت جعلی خراشیده شده و به یک حساب تلگرامی که توسط هکرها کنترل می شود منتقل شده است.
به طور طبیعی، به خطر انداختن اعتبار Okta کارکنان هدف به مهاجمان اجازه می دهد تا طیف گسترده ای از اقدامات شرورانه را در سازمان های نقض شده انجام دهند. و آنها این کار را انجام دادند، با دسترسی عوامل تهدید به VPN های شرکتی، شبکه ها، سیستم های پشتیبانی مشتری داخلی، و غیره. داده های جمع آوری شده مشتری توسط مجرمان سایبری برای انجام حملات زنجیره تامین که مشتریان سیگنال و DigitalOcean را هدف قرار می دادند، مورد سوء استفاده قرار گرفتند.
کمپین فیشینگ 0ktapus همچنین منجر به نقض اطلاعات در سازمانهای بزرگی مانند Twilio، Klaviyo، MailChimp و تلاش برای حمله به Cloudflare شده است. تاکنون، محققان 169 حوزه فیشینگ منحصر به فرد را شناسایی کرده اند که عوامل تهدید به عنوان بخشی از عملیات 0ktapus ایجاد کرده اند. صفحات ساخته شده به گونهای طراحی شدهاند که شبیه مضمون مناسب هر شرکت مورد نظر باشد و در نگاه اول، به نظر میرسد که پورتالهای قانونی مورد استفاده قربانیان روزانه باشند. به عنوان بخشی از این حمله، عوامل تهدید موفق به جمعآوری %6$s1 اعتبار از کارکنان 136 شرکت، 3129 پرونده با ایمیل و در مجموع 5441 پرونده حاوی کدهای MFA شدهاند.