0ktapus Phishing Kit

Киберпреступникам удалось взломать более 130 организаций в рамках серии кибератак. Преступные операции начинаются с широкомасштабной и хорошо продуманной фишинговой кампании с использованием фишингового комплекта под названием «0ktapus». Согласно отчету исследователей безопасности, злоумышленники смогли собрать около 10 000 учетных данных для входа всего за пару месяцев. Считается, что операция проводится по крайней мере с марта 2022 года. Целью кампании 0ktapus, по-видимому, была кража идентификационных данных Okta и кодов 2FA (двухфакторная авторизация). С полученными конфиденциальными данными киберпреступники намеревались проводить последующие операции, например, атаки на цепочку поставок.

Согласно отчету, фишинговый набор 0ktapus был использован против компаний из разных отраслей, включая финансы, криптовалюту, технологии, рекрутинг, телекоммуникации и многие другие. Некоторые из целевых компаний: AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy и другие.

Атаки начинаются с заманчивых SMS-сообщений, содержащих ссылку на фишинговую страницу. Веб-сайт очень похож на законную страницу входа в систему Okta и предлагает пользователям ввести свои учетные данные и коды 2FA. Okta — это платформа IDaaS (Identity-as-a-Service), которая, по сути, означает, что сотрудники могут использовать единую учетную запись и учетные данные для доступа ко всем программным активам, которые им нужны в их компании. Введенные учетные данные и коды 2FA были скопированы поддельным сайтом и переданы на учетную запись Telegram, контролируемую хакерами.

Естественно, компрометация учетных данных Okta целевых сотрудников позволит злоумышленникам выполнять широкий спектр гнусных действий в взломанных организациях. И они это сделали, поскольку злоумышленники получили доступ к корпоративным VPN, сетям, внутренним системам поддержки клиентов и т. д. Собранные данные о клиентах использовались киберпреступниками для проведения атак цепочки поставок, нацеленных на клиентов Signal и DigitalOcean.

Фишинговая кампания 0ktapus также привела к утечке данных в крупных организациях, таких как Twilio, Klaviyo, MailChimp, и к попытке атаки на Cloudflare. На данный момент исследователи выявили 169 уникальных фишинговых доменов, созданных злоумышленниками в рамках операции 0ktapus. Сфабрикованные страницы были спроектированы так, чтобы соответствовать соответствующей тематике каждой целевой компании, и на первый взгляд могли показаться, что это законные порталы, которыми жертвы ежедневно пользуются. В рамках атаки злоумышленникам удалось собрать 9 931 учетную запись от сотрудников 136 компаний, 3 129 записей с электронными письмами и в общей сложности 5 441 запись с кодами MFA.