0ktapus Phishing Kit

A kiberbûnözõknek több mint 130 szervezetet sikerült feltörniük egy sor kibertámadás során. A bűnügyi műveletek egy széles körben elterjedt és jól kidolgozott adathalász kampánnyal kezdődnek, amely egy „0ktapus” nevű adathalász készletet használ. A biztonsági kutatók jelentése szerint a fenyegetés szereplői néhány hónap alatt közel 10 000 bejelentkezési adatot tudtak összegyűjteni. A művelet vélhetően legalább 2022 márciusa óta aktív. Úgy tűnik, a 0ktapus kampány célja az Okta személyazonossági hitelesítő adatainak és a 2FA (kéttényezős engedélyezési) kódok ellopása volt. A megszerzett bizalmas adatokkal a kiberbűnözők későbbi műveletek, például ellátási lánc támadások végrehajtását tűzték ki célul.

A jelentés szerint a 0ktapus adathalász készletet több iparágban működő vállalatok ellen alkalmazták, beleértve a pénzügyi, kriptográfiai, technológiai, toborzási, telekommunikációs és sok más ágazatot. A megcélzott vállalatok közül néhány az AT&T, a T-Mobile, a Verizon Wireless, a Slack, a Binance, a CoinBase, a Twitter, a Microsoft, a Riot Games, az Epic Games, a HubSpot, a Best Buy és mások.

A támadások olyan SMS-üzenetekkel kezdődnek, amelyek egy adathalász oldalra mutató hivatkozást tartalmaznak. A webhely nagyon hasonlít a legitim Okta bejelentkezési oldalra, és arra kéri a felhasználókat, hogy adják meg fiókjuk hitelesítő adatait és 2FA kódjaikat. Az Okta egy IDaaS (Identity-as-a-Service) platform, ami lényegében azt jelenti, hogy az alkalmazottak egyetlen bejelentkezési fiókkal és hitelesítő adatokkal hozzáférhetnek a vállalaton belül szükséges összes szoftvereszközhöz. A beírt hitelesítő adatokat és 2FA kódokat a hamis oldal lekaparta, és továbbította a hackerek által ellenőrzött Telegram-fiókba.

Természetesen a megcélzott alkalmazottak Okta-jogosultságának veszélyeztetése lehetővé tenné a támadók számára, hogy aljas cselekmények széles körét hajtsák végre a megsértett szervezeteken belül. És meg is tették, a fenyegetés szereplői hozzáfértek a vállalati VPN-ekhez, hálózatokhoz, belső ügyfélszolgálati rendszerekhez stb. Az összegyűjtött ügyféladatokat a kiberbűnözők arra használták fel, hogy ellátási lánc támadásokat hajtsanak végre a Signal és a DigitalOcean ügyfelei ellen.

A 0ktapus adathalász kampány adatszivárgásokhoz is vezetett olyan nagy szervezeteknél, mint a Twilio, Klaviyo, MailChimp, valamint a Cloudflare elleni támadási kísérlet. A kutatók eddig 169 egyedi adathalász tartományt azonosítottak, amelyeket a fenyegetés szereplői a 0ktapus művelet részeként hoztak létre. A kitalált oldalakat úgy alakították ki, hogy az egyes megcélzott cégek megfelelő témájához hasonlítsanak, és első pillantásra az áldozatok által naponta használt legitim portáloknak tűnjenek. A támadás részeként a fenyegetés szereplőinek %6$s1 hitelesítő adatot sikerült begyűjteniük 136 cég alkalmazottaitól, 3129 e-mailes rekordot és összesen 5441 MFA kódot tartalmazó rekordot.