0ktapus Phishing Kit

I criminali informatici sono riusciti a violare oltre 130 organizzazioni come parte di una serie di attacchi informatici. Le operazioni criminali iniziano con una campagna di phishing diffusa e ben congegnata che utilizza un kit di phishing chiamato "0ktapus". Secondo un rapporto di ricercatori di sicurezza, gli attori delle minacce sono stati in grado di raccogliere quasi 10.000 credenziali di accesso in un paio di mesi. Si ritiene che l'operazione sia attiva almeno da marzo 2022. L'obiettivo della campagna 0ktapus sembra essere stato il furto delle credenziali di identità Okta e dei codici 2FA (autorizzazione a due fattori). Con i dati riservati ottenuti, i criminali informatici miravano a compiere operazioni successive, come attacchi alla catena di approvvigionamento.

Secondo il rapporto, il kit di phishing 0ktapus è stato sfruttato contro aziende di diversi settori industriali, tra cui finanza, criptovaluta, tecnologia, reclutamento, telecomunicazioni e molti altri. Alcune delle aziende prese di mira sono AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy e altre.

Gli attacchi iniziano con messaggi SMS di richiamo contenenti un collegamento a una pagina di phishing. Il sito Web assomiglia molto alla pagina di accesso legittima di Okta e richiede agli utenti di fornire le credenziali del proprio account e i codici 2FA. Okta è una piattaforma IDaaS (Identity-as-a-Service), il che significa essenzialmente che i dipendenti possono utilizzare un unico account di accesso e credenziali per accedere a tutte le risorse software di cui hanno bisogno all'interno della loro azienda. Le credenziali inserite e i codici 2FA sono stati raschiati dal sito falso e trasmessi a un account Telegram controllato dagli hacker.

Naturalmente, la compromissione delle credenziali Okta dei dipendenti presi di mira consentirebbe agli aggressori di eseguire una vasta gamma di azioni nefaste all'interno delle organizzazioni violate. E lo hanno fatto, con gli attori delle minacce che hanno ottenuto l'accesso a VPN aziendali, reti, sistemi di assistenza clienti interni, ecc. I dati dei clienti raccolti sono stati sfruttati dai criminali informatici per eseguire attacchi alla catena di approvvigionamento mirati ai clienti di Signal e DigitalOcean.

La campagna di phishing di 0ktapus ha anche portato a violazioni dei dati in importanti organizzazioni, come Twilio, Klaviyo, MailChimp e un tentativo di attacco contro Cloudflare. Finora, i ricercatori hanno identificato 169 domini di phishing unici creati dagli attori delle minacce nell'ambito dell'operazione 0ktapus. Le pagine fabbricate sono state progettate per assomigliare al tema appropriato di ciascuna azienda presa di mira e, a prima vista, sembrerebbero i portali legittimi utilizzati quotidianamente dalle vittime. Nell'ambito dell'attacco, gli attori della minaccia sono riusciti a raccogliere 9.931 credenziali dai dipendenti di 136 aziende, 3.129 record con e-mail e un totale di 5.441 record contenenti codici MFA.