0ktapus Phishing Kit

Kyberzločincom sa v rámci série kybernetických útokov podarilo napadnúť viac ako 130 organizácií. Zločinecké operácie začínajú rozsiahlou a dobre pripravenou phishingovou kampaňou využívajúcou phishing kit s názvom '0ktapus. Podľa správy bezpečnostných výskumníkov boli aktéri hrozby schopní zhromaždiť takmer 10 000 prihlasovacích údajov len za pár mesiacov. Predpokladá sa, že operácia je aktívna minimálne od marca 2022. Zdá sa, že cieľom kampane 0ktapus bola krádež identifikačných údajov Okta a kódov 2FA (dvojfaktorová autorizácia). So získanými dôvernými údajmi sa kyberzločinci zamerali na následné operácie, ako sú útoky na dodávateľský reťazec.

Podľa správy bola phishingová súprava 0ktapus využívaná proti spoločnostiam z viacerých priemyselných odvetví vrátane financií, krypto, technológií, náboru, telekomunikácií a mnohých ďalších. Niektoré z cieľových spoločností sú AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy a ďalšie.

Útoky začínajú návnadovými SMS správami obsahujúcimi odkaz na phishingovú stránku. Webová stránka sa veľmi podobá legitímnej prihlasovacej stránke Okta a vyzýva používateľov, aby poskytli svoje poverenia účtu a kódy 2FA. Okta je platforma IDaaS (Identity-as-a-Service), čo v podstate znamená, že zamestnanci môžu používať jeden prihlasovací účet a poverenia na prístup ku všetkým softvérovým aktívam, ktoré v rámci svojej spoločnosti potrebujú. Zadané prihlasovacie údaje a kódy 2FA boli zoškrabané falošnou stránkou a prenesené na účet Telegram kontrolovaný hackermi.

Prirodzene, kompromitácia poverení Okta cieľových zamestnancov by útočníkom umožnila vykonávať širokú škálu hanebných akcií v rámci narušených organizácií. A urobili, pričom aktéri hrozby získali prístup k podnikovým VPN, sieťam, interným systémom zákazníckej podpory atď. Zhromaždené údaje o zákazníkoch zneužili kyberzločinci na uskutočnenie útokov na dodávateľský reťazec zameraných na klientov Signal a DigitalOcean.

Phishingová kampaň 0ktapus tiež viedla k narušeniu údajov vo veľkých organizáciách, ako sú Twilio, Klaviyo, MailChimp a k pokusu o útok proti Cloudflare. Výskumníci doteraz identifikovali 169 jedinečných phishingových domén, ktoré aktéri hrozieb vytvorili v rámci operácie 0ktapus. Vymyslené stránky boli navrhnuté tak, aby pripomínali vhodný motív každej cieľovej spoločnosti a na prvý pohľad by sa zdalo, že ide o legitímne portály, ktoré obete denne používajú. V rámci útoku sa aktérom hrozby podarilo vyzbierať 9 931 poverení od zamestnancov 136 spoločností, 3 129 záznamov s e-mailami a celkovo 5 441 záznamov obsahujúcich MFA kódy.