0ktapus Phishing Kit

Kibernetički kriminalci uspjeli su probiti preko 130 organizacija u sklopu niza kibernetičkih napada. Kriminalne operacije započinju široko rasprostranjenom i dobro osmišljenom phishing kampanjom koja koristi komplet za phishing pod nazivom '0ktapus'. Prema izvješću sigurnosnih istraživača, prijetnje su uspjele prikupiti gotovo 10.000 vjerodajnica za prijavu u samo nekoliko mjeseci. Vjeruje se da je operacija aktivna najmanje od ožujka 2022. Čini se da je cilj kampanje 0ktapus bila krađa vjerodajnica Okta identiteta i 2FA kodova (autorizacija s dva faktora). S dobivenim povjerljivim podacima kibernetički kriminalci su namjeravali izvršiti naknadne operacije, poput napada na lanac opskrbe.

Prema izvješću, 0ktapus phishing kit je iskorišten protiv tvrtki iz više industrijskih sektora, uključujući financije, kripto, tehnologiju, zapošljavanje, telekomunikacije i mnoge druge. Neke od ciljanih kompanija su AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy i druge.

Napadi počinju primamljivim SMS porukama koje sadrže poveznicu na stranicu za krađu identiteta. Web stranica vrlo nalikuje legitimnoj Okta stranici za prijavu i traži od korisnika da daju vjerodajnice svog računa i 2FA kodove. Okta je IDaaS (Identity-as-a-Service) platforma, što u biti znači da zaposlenici mogu koristiti jedan račun za prijavu i vjerodajnice za pristup svim potrebnim softverskim sredstvima unutar svoje tvrtke. Unesene vjerodajnice i 2FA kodove pokrala je lažna stranica i prenijela ih na Telegram račun koji kontroliraju hakeri.

Naravno, kompromitiranje Okta vjerodajnica ciljanih zaposlenika omogućilo bi napadačima izvođenje širokog spektra opakih radnji unutar probijenih organizacija. I jesu, s akterima prijetnji koji su dobili pristup korporativnim VPN-ovima, mrežama, internim sustavima korisničke podrške, itd. Prikupljene korisničke podatke kibernetički kriminalci iskoristili su za izvođenje napada u opskrbnom lancu usmjerenih na klijente Signala i DigitalOceana.

0ktapus phishing kampanja također je dovela do kršenja podataka u velikim organizacijama, kao što su Twilio, Klaviyo, MailChimp i pokušaju napada na Cloudflare. Do sada su istraživači identificirali 169 jedinstvenih phishing domena koje su prijetnje stvorile kao dio operacije 0ktapus. Izmišljene stranice dizajnirane su tako da nalikuju odgovarajućoj temi svake ciljane tvrtke i, na prvi pogled, izgledaju kao legitimni portali koje žrtve svakodnevno koriste. U sklopu napada akteri prijetnje uspjeli su prikupiti %6$s1 vjerodajnicu od zaposlenika 136 tvrtki, 3129 zapisa s e-mailovima i ukupno 5441 zapisa koji sadrže MFA kodove.