0ktapus Phishing Kit

Infractorii cibernetici au reușit să spargă peste 130 de organizații ca parte a unui șir de atacuri cibernetice. Operațiunile criminale încep cu o campanie de phishing pe scară largă și bine concepută, care utilizează un kit de phishing numit „0ktapus”. Potrivit unui raport al cercetătorilor de securitate, actorii amenințărilor au reușit să colecteze aproape 10.000 de acreditări de conectare în doar câteva luni. Se crede că operațiunea a fost activă cel puțin din martie 2022. Scopul campaniei 0ktapus pare să fi fost furtul acreditărilor de identitate Okta și a codurilor 2FA (autorizare cu doi factori). Cu datele confidențiale obținute, infractorii cibernetici și-au propus să efectueze operațiuni ulterioare, cum ar fi atacuri în lanțul de aprovizionare.

Potrivit raportului, kitul de phishing 0ktapus a fost folosit împotriva companiilor din mai multe sectoare industriale, inclusiv finanțe, cripto, tehnologie, recrutare, telecomunicații și multe altele. Unele dintre companiile vizate sunt AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy și altele.

Atacurile încep cu mesaje SMS care conțin un link către o pagină de phishing. Site-ul web seamănă îndeaproape cu pagina legitimă de conectare Okta și solicită utilizatorilor să furnizeze acreditările contului și codurile 2FA. Okta este o platformă IDaaS (Identity-as-a-Service), ceea ce înseamnă în esență că angajații pot folosi un singur cont de conectare și acreditările pentru a accesa toate activele software de care au nevoie în cadrul companiei lor. Acreditările și codurile 2FA introduse au fost răzuite de site-ul fals și transmise către un cont Telegram controlat de hackeri.

Desigur, compromiterea acreditărilor Okta ale angajaților vizați le-ar permite atacatorilor să efectueze o gamă largă de acțiuni nefaste în cadrul organizațiilor încălcate. Și au făcut-o, actorii amenințărilor obținând acces la VPN-uri corporative, rețele, sisteme interne de asistență pentru clienți etc. Datele clienților colectate au fost exploatate de infractorii cibernetici pentru a efectua atacuri pe lanțul de aprovizionare care vizează clienții Signal și DigitalOcean.

Campania de phishing 0ktapus a dus, de asemenea, la încălcări ale datelor la organizații importante, cum ar fi Twilio, Klaviyo, MailChimp și o tentativă de atac împotriva Cloudflare. Până acum, cercetătorii au identificat 169 de domenii unice de phishing pe care actorii amenințări le-au creat ca parte a operațiunii 0ktapus. Paginile fabricate au fost concepute pentru a semăna cu tematica adecvată a fiecărei companii vizate și, la prima vedere, ar părea a fi portalurile legitime folosite zilnic de victime. În cadrul atacului, actorii amenințărilor au reușit să colecteze 9.931 de acreditări de la angajații a 136 de companii, 3.129 de înregistrări cu e-mailuri și un total de 5.441 de înregistrări care conțin coduri MFA.