0ktapus Phishing Kit

Nettkriminelle har klart å bryte over 130 organisasjoner som en del av en rekke nettangrep. De kriminelle operasjonene begynner med en utbredt og godt utformet phishing-kampanje som bruker et phishing-sett kalt '0ktapus.' Ifølge en rapport fra sikkerhetsforskere var trusselaktørene i stand til å samle inn nesten 10 000 påloggingsinformasjon på bare et par måneder. Operasjonen antas å ha vært aktiv siden minst mars 2022. Målet med 0ktapus-kampanjen ser ut til å ha vært tyveri av Okta-identitetsinformasjon og 2FA-koder (tofaktorautorisasjon). Med de innhentede konfidensielle dataene hadde nettkriminelle som mål å utføre påfølgende operasjoner, som for eksempel forsyningskjedeangrep.

I følge rapporten ble 0ktapus phishing-settet utnyttet mot selskaper fra flere industrisektorer, inkludert finans, krypto, teknologi, rekruttering, telekommunikasjon og mange flere. Noen av de målrettede selskapene er AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy og andre.

Angrepene begynner med lokke-SMS-meldinger som inneholder en lenke til en phishing-side. Nettstedet ligner mye på den legitime Okta-påloggingssiden og ber brukere om å oppgi kontolegitimasjon og 2FA-koder. Okta er en IDaaS-plattform (Identity-as-a-Service), som i hovedsak betyr at ansatte kan bruke én enkelt påloggingskonto og legitimasjon for å få tilgang til alle programvaremidlene de trenger i selskapet. Den oppgitte legitimasjonen og 2FA-kodene ble skrapet av det falske nettstedet og overført til en Telegram-konto kontrollert av hackerne.

Naturligvis ville det å kompromittere Okta-legitimasjonen til de målrettede ansatte gjøre det mulig for angriperne å utføre et stort spekter av uhyggelige handlinger i de overtrådte organisasjonene. Og det gjorde de, med trusselaktørene som fikk tilgang til bedriftens VPN-er, nettverk, interne kundestøttesystemer osv. De innsamlede kundedataene ble utnyttet av nettkriminelle til å utføre forsyningskjedeangrep rettet mot kundene til Signal og DigitalOcean.

0ktapus-phishing-kampanjen har også ført til datainnbrudd hos store organisasjoner, som Twilio, Klaviyo, MailChimp og et angrepsforsøk mot Cloudflare. Så langt har forskere identifisert 169 unike phishing-domener som trusselaktørene skapte som en del av 0ktapus-operasjonen. De fabrikerte sidene ble designet for å ligne riktig tema for hvert målrettet selskap, og ved første øyekast ser det ut til å være de legitime portalene som ofrene bruker daglig. Som en del av angrepet har trusselaktørene klart å samle inn 9.931 legitimasjon fra ansatte i 136 selskaper, 3.129 poster med e-post og totalt 5.441 poster som inneholder MFA-koder.