0ktapus Phishing Kit

사이버 범죄자들은 일련의 사이버 공격의 일환으로 130개 이상의 조직을 침해했습니다. 범죄 활동은 '0ktapus'라는 피싱 키트를 사용하는 광범위하고 잘 만들어진 피싱 캠페인으로 시작됩니다. 보안 연구원의 보고서에 따르면 위협 행위자는 불과 몇 달 만에 거의 10,000개의 로그인 자격 증명을 수집할 수 있었습니다. 이 작업은 최소 2022년 3월부터 활성화된 것으로 여겨집니다. 0ktapus 캠페인의 목표는 Okta 자격 증명 및 2FA(2단계 인증) 코드를 도용하는 것으로 보입니다. 획득한 기밀 데이터로 사이버 범죄자들은 공급망 공격과 같은 후속 작업을 수행하는 것을 목표로 삼았습니다.

보고서에 따르면 0ktapus 피싱 키트는 금융, 암호화, 기술, 채용, 통신 등 여러 산업 분야의 회사를 대상으로 활용되었습니다. 대상 회사 중 일부는 AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy 등입니다.

공격은 피싱 페이지에 대한 링크가 포함된 유인 SMS 메시지로 시작됩니다. 웹사이트는 합법적인 Okta 로그인 페이지와 매우 유사하며 사용자에게 계정 자격 증명과 2FA 코드를 제공하라는 메시지를 표시합니다. Okta는 IDaaS(Identity-as-a-Service) 플랫폼으로, 본질적으로 직원이 단일 로그인 계정과 자격 증명을 사용하여 회사 내에서 필요한 모든 소프트웨어 자산에 액세스할 수 있음을 의미합니다. 입력된 자격 증명과 2FA 코드는 가짜 사이트에서 긁어내어 해커가 관리하는 텔레그램 계정으로 전송되었습니다.

당연히 대상 직원의 Okta 자격 증명을 손상시키면 공격자가 침해된 조직 내에서 광범위한 사악한 작업을 수행할 수 있습니다. 그리고 그들은 공격자가 기업 VPN, 네트워크, 내부 고객 지원 시스템 등에 액세스할 수 있게 되었습니다. 수집된 고객 데이터는 사이버 범죄자가 Signal 및 DigitalOcean의 고객을 대상으로 하는 공급망 공격을 수행하는 데 악용되었습니다.

0ktapus 피싱 캠페인은 또한 Twilio, Klaviyo, MailChimp와 같은 주요 조직에서 데이터 침해 및 Cloudflare에 대한 공격 시도로 이어졌습니다. 지금까지 연구원들은 위협 행위자가 0ktapus 작업의 일부로 생성한 169개의 고유한 피싱 도메인을 식별했습니다. 위조된 페이지는 각 대상 기업의 적절한 테마와 유사하게 설계되었으며, 언뜻 보기에는 피해자가 매일 사용하는 합법적인 포털처럼 보입니다. 공격의 일환으로 공격자는 136개 회사 직원으로부터 9,931개의 자격 증명, 이메일이 포함된 3,129개의 레코드, MFA 코드가 포함된 총 5,441개의 레코드를 수집했습니다.