0ktapus Phishing Kit

Cybercriminelen zijn erin geslaagd meer dan 130 organisaties binnen te dringen als onderdeel van een reeks cyberaanvallen. De criminele operaties beginnen met een wijdverbreide en goed opgezette phishing-campagne waarbij gebruik wordt gemaakt van een phishing-kit met de naam '0ktapus'. Volgens een rapport van beveiligingsonderzoekers waren de dreigingsactoren in staat om in slechts een paar maanden tijd bijna 10.000 inloggegevens te verzamelen. Aangenomen wordt dat de operatie al sinds maart 2022 actief is. Het doel van de 0ktapus-campagne lijkt de diefstal van Okta-identiteitsgegevens en 2FA-codes (tweefactorautorisatie) te zijn geweest. Met de verkregen vertrouwelijke gegevens wilden de cybercriminelen volgende operaties uitvoeren, zoals aanvallen op de toeleveringsketen.

Volgens het rapport werd de 0ktapus phishing-kit gebruikt tegen bedrijven uit meerdere industriële sectoren, waaronder financiën, crypto, technologie, werving, telecommunicatie en nog veel meer. Enkele van de beoogde bedrijven zijn AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy en anderen.

De aanvallen beginnen met verlokkende sms-berichten met een link naar een phishing-pagina. De website lijkt sterk op de legitieme Okta-inlogpagina en vraagt gebruikers om hun accountgegevens en 2FA-codes op te geven. Okta is een IDaaS-platform (Identity-as-a-Service), wat in wezen betekent dat werknemers één inlogaccount en inloggegevens kunnen gebruiken om toegang te krijgen tot alle softwaremiddelen die ze binnen hun bedrijf nodig hebben. De ingevoerde inloggegevens en 2FA-codes werden door de nepsite geschraapt en verzonden naar een Telegram-account dat door de hackers werd beheerd.

Natuurlijk zou het compromitteren van de Okta-referenties van de beoogde werknemers de aanvallers in staat stellen een breed scala aan snode acties uit te voeren binnen de geschonden organisaties. En dat deden ze, terwijl de dreigingsactoren toegang kregen tot zakelijke VPN's, netwerken, interne klantenondersteuningssystemen, enz. De verzamelde klantgegevens werden door de cybercriminelen uitgebuit om supply chain-aanvallen uit te voeren die gericht waren op de klanten van Signal en DigitalOcean.

De 0ktapus phishing-campagne heeft ook geleid tot datalekken bij grote organisaties, zoals Twilio, Klaviyo, MailChimp en een poging tot aanval tegen Cloudflare. Tot nu toe hebben onderzoekers 169 unieke phishing-domeinen geïdentificeerd die de dreigingsactoren hebben gecreëerd als onderdeel van de 0ktapus-operatie. De gefabriceerde pagina's zijn ontworpen om te lijken op het juiste thema van elk gericht bedrijf en lijken op het eerste gezicht de legitieme portals te zijn die dagelijks door de slachtoffers worden gebruikt. Als onderdeel van de aanval zijn de dreigingsactoren erin geslaagd om 9.931 inloggegevens te verzamelen van de werknemers van 136 bedrijven, 3.129 records met e-mails en in totaal 5.441 records met MFA-codes.