0ktapus Phishing Kit

Kibernetiniams nusikaltėliams pavyko palaužti daugiau nei 130 organizacijų kaip dalį kibernetinių atakų. Nusikalstamos operacijos prasideda plačiai paplitusia ir gerai parengta sukčiavimo kampanija, naudojant sukčiavimo rinkinį, pavadintą „0ktapus“. Remiantis saugumo tyrėjų ataskaita, grėsmės veikėjai vos per porą mėnesių sugebėjo surinkti beveik 10 000 prisijungimo duomenų. Manoma, kad operacija buvo vykdoma mažiausiai nuo 2022 m. kovo mėn. Atrodo, kad 0ktapus kampanijos tikslas buvo pavogti Okta tapatybės kredencialus ir 2FA (dviejų faktorių autorizacijos) kodus. Su gautais konfidencialiais duomenimis kibernetiniai nusikaltėliai siekė atlikti vėlesnes operacijas, pavyzdžiui, tiekimo grandinės atakas.

Remiantis ataskaita, 0ktapus sukčiavimo rinkinys buvo panaudotas prieš įmones iš kelių pramonės sektorių, įskaitant finansus, kriptovaliutą, technologijas, įdarbinimą, telekomunikacijas ir daugelį kitų. Kai kurios tikslinės įmonės yra AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy ir kt.

Išpuoliai prasideda suviliojant SMS žinutes, kuriose yra nuoroda į sukčiavimo puslapį. Svetainė labai panaši į teisėtą Okta prisijungimo puslapį ir ragina vartotojus pateikti savo paskyros kredencialus ir 2FA kodus. „Okta“ yra IDaaS (Identity-as-a-Service) platforma, kuri iš esmės reiškia, kad darbuotojai gali naudoti vieną prisijungimo paskyrą ir kredencialus, kad pasiektų visą reikalingą programinės įrangos turtą savo įmonėje. Įvesti kredencialai ir 2FA kodai buvo iškrapštyti netikros svetainės ir persiųsti į įsilaužėlių kontroliuojamą „Telegram“ paskyrą.

Natūralu, kad pažeistų darbuotojų, į kuriuos buvo nukreipta, „Okta“ įgaliojimai, užpuolikai galėtų atlikti daugybę nešvankių veiksmų pažeistose organizacijose. Ir jie padarė, kai grėsmės veikėjai gavo prieigą prie įmonių VPN, tinklų, vidinių klientų aptarnavimo sistemų ir kt. Surinktus klientų duomenis kibernetiniai nusikaltėliai panaudojo tiekimo grandinės atakoms, nukreiptoms į „Signal“ ir „DigitalOcean“ klientus, vykdyti.

0ktapus sukčiavimo kampanija taip pat sukėlė duomenų pažeidimus didelėse organizacijose, tokiose kaip „Twilio“, „Klaviyo“, „MailChimp“, ir bandymą atakuoti „Cloudflare“. Iki šiol mokslininkai nustatė 169 unikalius sukčiavimo domenus, kuriuos grėsmės veikėjai sukūrė vykdydami 0ktapus operaciją. Sugalvoti puslapiai buvo sukurti taip, kad būtų panašūs į atitinkamą kiekvienos tikslinės įmonės temą ir iš pirmo žvilgsnio atrodytų kaip teisėti portalai, kuriais aukos naudojasi kasdien. Vykdydami ataką, grėsmės veikėjai sugebėjo surinkti 9 931 136 įmonių darbuotojų kredencialus, 3 129 įrašus su elektroniniais laiškais ir iš viso 5 441 įrašą su MFA kodais.