0ktapus Phishing Kit

Penjenayah siber telah berjaya menceroboh lebih 130 organisasi sebagai sebahagian daripada rentetan serangan siber. Operasi jenayah bermula dengan kempen pancingan data yang meluas dan direka dengan baik menggunakan kit pancingan data bernama '0ktapus.' Menurut laporan penyelidik keselamatan, pelaku ancaman itu dapat mengumpul hampir 10,000 bukti kelayakan log masuk hanya dalam beberapa bulan. Operasi itu dipercayai telah aktif sejak sekurang-kurangnya Mac 2022. Matlamat kempen 0ktapus nampaknya adalah pencurian bukti kelayakan identiti Okta dan kod 2FA (kebenaran dua faktor). Dengan data sulit yang diperoleh, penjenayah siber bertujuan untuk menjalankan operasi berikutnya, seperti serangan rantaian bekalan.

Menurut laporan itu, kit pancingan data 0ktapus telah dimanfaatkan terhadap syarikat daripada pelbagai sektor industri, termasuk kewangan, kripto, teknologi, perekrutan, telekomunikasi dan banyak lagi. Beberapa syarikat yang disasarkan ialah AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy dan lain-lain.

Serangan bermula dengan memikat mesej SMS yang mengandungi pautan ke halaman pancingan data. Laman web ini menyerupai halaman log masuk Okta yang sah dan menggesa pengguna untuk memberikan kelayakan akaun dan kod 2FA mereka. Okta ialah platform IDaaS (Identity-as-a-Service), yang pada asasnya bermakna pekerja boleh menggunakan satu akaun log masuk dan bukti kelayakan untuk mengakses semua aset perisian yang mereka perlukan dalam syarikat mereka. Bukti kelayakan dan kod 2FA yang dimasukkan telah dikikis oleh tapak palsu dan dihantar ke akaun Telegram yang dikawal oleh penggodam.

Sememangnya, menjejaskan kelayakan Okta pekerja yang disasarkan akan membolehkan penyerang melakukan pelbagai tindakan jahat dalam organisasi yang dilanggar. Dan mereka melakukannya, dengan pelaku ancaman mendapat akses kepada VPN korporat, rangkaian, sistem sokongan pelanggan dalaman, dll. Data pelanggan yang dikumpul telah dieksploitasi oleh penjenayah siber untuk melakukan serangan rantaian bekalan yang menyasarkan pelanggan Signal dan DigitalOcean.

Kempen pancingan data 0ktapus juga telah membawa kepada pelanggaran data di organisasi utama, seperti Twilio, Klaviyo, MailChimp dan percubaan serangan terhadap Cloudflare. Setakat ini, penyelidik telah mengenal pasti 169 domain pancingan data unik yang dicipta oleh pelaku ancaman sebagai sebahagian daripada operasi 0ktapus. Halaman yang direka bentuk untuk menyerupai tema yang sesuai bagi setiap syarikat yang disasarkan dan, pada pandangan pertama, akan kelihatan seperti portal yang sah yang digunakan oleh mangsa setiap hari. Sebagai sebahagian daripada serangan itu, pelaku ancaman telah berjaya mengumpul 9,931 bukti kelayakan daripada pekerja 136 syarikat, 3,129 rekod dengan e-mel dan sejumlah 5,441 rekod yang mengandungi kod MFA.