0ktapus Phishing Kit

Kibernoziedzniekiem ir izdevies uzlauzt vairāk nekā 130 organizācijas kiberuzbrukumu virknes ietvaros. Noziedzīgās darbības sākas ar plaši izplatītu un labi izstrādātu pikšķerēšanas kampaņu, kurā tiek izmantots pikšķerēšanas komplekts ar nosaukumu “0ktapus”. Saskaņā ar drošības pētnieku ziņojumu, draudu dalībnieki spēja savākt gandrīz 10 000 pieteikšanās akreditācijas datu tikai pāris mēnešu laikā. Tiek uzskatīts, ka operācija ir bijusi aktīva vismaz kopš 2022. gada marta. Šķiet, ka 0ktapus kampaņas mērķis bija Okta identitātes akreditācijas datu un 2FA (divu faktoru autorizācijas) kodu zādzība. Ar iegūtajiem konfidenciālajiem datiem kibernoziedznieku mērķis bija veikt turpmākas darbības, piemēram, piegādes ķēdes uzbrukumus.

Saskaņā ar ziņojumu 0ktapus pikšķerēšanas komplekts tika izmantots pret uzņēmumiem no vairākām nozares nozarēm, tostarp finanšu, kriptovalūtu, tehnoloģiju, personāla atlases, telekomunikāciju un daudzām citām nozarēm. Daži no mērķauditorijas uzņēmumiem ir AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy un citi.

Uzbrukumi sākas ar īsziņām, kas satur saiti uz pikšķerēšanas lapu. Vietne ļoti atgādina likumīgo Okta pieteikšanās lapu un aicina lietotājus norādīt sava konta akreditācijas datus un 2FA kodus. Okta ir IDaaS (Identity-as-a-Service) platforma, kas būtībā nozīmē, ka darbinieki var izmantot vienu pieteikšanās kontu un akreditācijas datus, lai piekļūtu visiem programmatūras aktīviem, kas viņiem nepieciešami savā uzņēmumā. Ievadītos akreditācijas datus un 2FA kodus viltotā vietne nokasīja un pārsūtīja uz Telegram kontu, kuru kontrolēja hakeri.

Protams, mērķa darbinieku Okta akreditācijas datu kompromitēšana ļautu uzbrucējiem veikt plašu ļaunprātīgu darbību klāstu pārkāptajās organizācijās. Un viņi to arī izdarīja, jo apdraudējuma dalībnieki ieguva piekļuvi korporatīvajiem VPN, tīkliem, iekšējām klientu atbalsta sistēmām utt. Kibernoziedznieki izmantoja savāktos klientu datus, lai veiktu piegādes ķēdes uzbrukumus, kas bija vērsti pret Signal un DigitalOcean klientiem.

0ktapus pikšķerēšanas kampaņa ir izraisījusi arī datu pārkāpumus lielākajās organizācijās, piemēram, Twilio, Klaviyo, MailChimp un mēģinājumu uzbrukt Cloudflare. Līdz šim pētnieki ir identificējuši 169 unikālus pikšķerēšanas domēnus, ko apdraudējuma dalībnieki ir izveidojuši operācijas 0ktapus ietvaros. Sagatavotās lapas tika izstrādātas tā, lai tās atgādinātu katra mērķa uzņēmuma atbilstošo tēmu, un no pirmā acu uzmetiena šķita, ka tie ir likumīgi portāli, kurus cietušie izmanto katru dienu. Uzbrukuma ietvaros draudu dalībniekiem izdevies savākt %6$s1 akreditācijas datus no 136 uzņēmumu darbiniekiem, 3129 ierakstus ar e-pastiem un kopumā 5441 ierakstu ar MFA kodiem.