0ktapus Phishing Kit

Cyberprzestępcom udało się włamać do ponad 130 organizacji w ramach szeregu cyberataków. Operacje przestępcze zaczynają się od szeroko zakrojonej i dobrze opracowanej kampanii phishingowej z wykorzystaniem zestawu phishingowego o nazwie „0ktapus”. Według raportu badaczy bezpieczeństwa cyberprzestępcy byli w stanie zebrać prawie 10 000 danych logowania w ciągu zaledwie kilku miesięcy. Uważa się, że operacja była aktywna co najmniej od marca 2022 r. Wydaje się, że celem kampanii 0ktapus była kradzież danych uwierzytelniających Okta i kodów 2FA (dwuskładnikowej autoryzacji). Na podstawie pozyskanych poufnych danych cyberprzestępcy zamierzali przeprowadzić kolejne operacje, takie jak ataki na łańcuch dostaw.

Według raportu, zestaw phishingowy 0ktapus został wykorzystany przeciwko firmom z wielu sektorów przemysłu, w tym finansów, kryptowalut, technologii, rekrutacji, telekomunikacji i wielu innych. Niektóre z atakowanych firm to AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy i inne.

Ataki rozpoczynają się od zwabienia wiadomości SMS zawierających odsyłacz do strony phishingowej. Witryna bardzo przypomina legalną stronę logowania Okta i prosi użytkowników o podanie danych logowania do konta oraz kodów 2FA. Okta to platforma IDaaS (Identity-as-a-Service), co zasadniczo oznacza, że pracownicy mogą korzystać z jednego konta logowania i danych uwierzytelniających, aby uzyskać dostęp do wszystkich zasobów oprogramowania, których potrzebują w swojej firmie. Wprowadzone dane uwierzytelniające i kody 2FA zostały zeskrobane przez fałszywą witrynę i przesłane na konto Telegram kontrolowane przez hakerów.

Naturalnie, skompromitowanie danych uwierzytelniających Okta zaatakowanych pracowników pozwoliłoby napastnikom na wykonanie szerokiej gamy nikczemnych działań w naruszonych organizacjach. I tak się stało, a cyberprzestępcy uzyskali dostęp do korporacyjnych sieci VPN, sieci, wewnętrznych systemów obsługi klienta itp. Zebrane dane klientów zostały wykorzystane przez cyberprzestępców do przeprowadzenia ataków łańcucha dostaw wymierzonych w klientów Signal i DigitalOcean.

Kampania phishingowa 0ktapus doprowadziła również do naruszeń danych w głównych organizacjach, takich jak Twilio, Klaviyo, MailChimp i próby ataku na Cloudflare. Do tej pory badacze zidentyfikowali 169 unikalnych domen phishingowych, które utworzyli cyberprzestępcy w ramach operacji 0ktapus. Sfabrykowane strony zostały zaprojektowane tak, aby przypominały odpowiednią tematykę każdej docelowej firmy i na pierwszy rzut oka wydają się być legalnymi portalami, z których codziennie korzystają ofiary. W ramach ataku cyberprzestępcom udało się zebrać %6$s1 danych uwierzytelniających od pracowników 136 firm, 3129 rekordów z e-mailami i łącznie 5441 rekordów zawierających kody MFA.