0ktapus Phishing Kit

Kyberrikolliset ovat onnistuneet murtautumaan yli 130 organisaatioon osana kyberhyökkäysten sarjaa. Rikolliset toimet alkavat laajalle levinneellä ja hyvin suunnitellulla tietojenkalastelukampanjalla, jossa käytetään 0ktapus-nimistä tietojenkalastelupakettia. Tietoturvatutkijoiden raportin mukaan uhkatoimijat onnistuivat keräämään lähes 10 000 kirjautumistunnusta vain parissa kuukaudessa. Operaation uskotaan olleen aktiivinen ainakin maaliskuusta 2022 lähtien. 0ktapus-kampanjan tavoitteena näyttää olleen Okta-identiteettitietojen ja 2FA (kaksitekijäinen valtuutus) -koodien varastaminen. Saatuilla luottamuksellisilla tiedoilla kyberrikolliset pyrkivät suorittamaan myöhempiä operaatioita, kuten toimitusketjuhyökkäyksiä.

Raportin mukaan 0ktapus-phishing-sarjaa hyödynnettiin useiden teollisuudenalojen yrityksiä vastaan, mukaan lukien rahoitus, krypto, teknologia, rekrytointi, televiestintä ja monet muut. Jotkut kohteena olevista yrityksistä ovat AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy ja muut.

Hyökkäykset alkavat houkuttelevilla tekstiviesteillä, jotka sisältävät linkin tietojenkalastelusivulle. Sivusto muistuttaa läheisesti laillista Okta-kirjautumissivua ja kehottaa käyttäjiä antamaan tilitunnuksensa ja 2FA-koodinsa. Okta on IDaaS (Identity-as-a-Service) -alusta, mikä tarkoittaa käytännössä sitä, että työntekijät voivat käyttää yhtä kirjautumistiliä ja tunnuksia päästäkseen kaikkeen tarvitsemaansa ohjelmistoomaisuuteen yrityksessään. Väärennetty sivusto kaavittiin syötetyt tunnistetiedot ja 2FA-koodit ja välitettiin hakkereiden hallitsemalle Telegram-tilille.

Luonnollisesti kohteena olevien työntekijöiden Okta-valtuuksien vaarantaminen antaisi hyökkääjille mahdollisuuden suorittaa laajan valikoiman ilkeitä toimia rikotun organisaation sisällä. Ja he tekivätkin, kun uhkatoimijat pääsivät yritysten VPN-verkkoihin, verkkoihin, sisäisiin asiakastukijärjestelmiin jne. Kyberrikolliset käyttivät kerättyä asiakasdataa hyväkseen toimitusketjuhyökkäyksiä varten Signalin ja DigitalOceanin asiakkaisiin.

0ktapus-phishing-kampanja on myös johtanut tietomurtoihin suurissa organisaatioissa, kuten Twilio, Klaviyo, MailChimp ja hyökkäysyritys Cloudflarea vastaan. Tähän mennessä tutkijat ovat tunnistaneet 169 ainutlaatuista phishing-verkkotunnusta, jotka uhkatoimijat loivat osana 0ktapus-operaatiota. Valmistetut sivut suunniteltiin muistuttamaan kunkin kohteena olevan yrityksen asianmukaista teemaa, ja ensi silmäyksellä ne näyttävät olevan laillisia portaaleja, joita uhrit käyttävät päivittäin. Osana hyökkäystä uhkatekijät ovat onnistuneet keräämään 9 931 tunnistetietoa 136 yrityksen työntekijöiltä, 3 129 tietuetta sähköposteilla ja yhteensä 5 441 MFA-koodeja sisältävää tietuetta.