0ktapus Phishing Kit

Kibernetski kriminalci so v nizu kibernetskih napadov uspeli vdreti v več kot 130 organizacij. Kriminalne operacije se začnejo z razširjeno in dobro oblikovano kampanjo lažnega predstavljanja, ki uporablja komplet za lažno predstavljanje, imenovan '0ktapus.' Po poročilu varnostnih raziskovalcev je akterjem groženj uspelo zbrati skoraj 10.000 poverilnic za prijavo v samo nekaj mesecih. Operacija naj bi bila aktivna vsaj od marca 2022. Zdi se, da je bil cilj kampanje 0ktapus kraja poverilnic identitete Okta in kod 2FA (dvofaktorska avtorizacija). S pridobljenimi zaupnimi podatki so kibernetski kriminalci nameravali izvesti nadaljnje operacije, kot so napadi na dobavno verigo.

Glede na poročilo je bil komplet za lažno predstavljanje 0ktapus uporabljen proti podjetjem iz več industrijskih sektorjev, vključno s financami, kripto, tehnologijo, zaposlovanjem, telekomunikacijami in številnimi drugimi. Nekatera ciljna podjetja so AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy in druga.

Napadi se začnejo z mamljivimi SMS-sporočili, ki vsebujejo povezavo do lažnega predstavljanja. Spletna stran je zelo podobna legitimni strani za prijavo v Okta in od uporabnikov zahteva, da vnesejo svoje poverilnice računa in kode 2FA. Okta je platforma IDaaS (Identity-as-a-Service), kar v bistvu pomeni, da lahko zaposleni uporabljajo en sam prijavni račun in poverilnice za dostop do vseh programskih sredstev, ki jih potrebujejo v svojem podjetju. Vnesene poverilnice in kode 2FA je lažno spletno mesto postrgalo in jih preneslo na račun Telegram, ki ga nadzorujejo hekerji.

Seveda bi ogrožanje poverilnic Okta ciljnih zaposlenih omogočilo napadalcem, da izvedejo širok spekter nečednih dejanj v organizacijah, v katerih je prišlo do vdora. In to so tudi storili, pri čemer so akterji groženj pridobili dostop do korporativnih VPN-jev, omrežij, notranjih sistemov za podporo strankam itd. Zbrane podatke o strankah so kibernetski kriminalci izrabili za izvajanje napadov v dobavni verigi, ki so ciljali na stranke Signal in DigitalOcean.

Kampanja lažnega predstavljanja 0ktapus je privedla tudi do kršitev podatkov v velikih organizacijah, kot so Twilio, Klaviyo, MailChimp, in poskusa napada na Cloudflare. Doslej so raziskovalci identificirali 169 edinstvenih lažnih domen, ki so jih akterji groženj ustvarili kot del operacije 0ktapus. Izmišljene strani so bile zasnovane tako, da spominjajo na ustrezno temo vsakega ciljnega podjetja in bi se na prvi pogled zdelo kot legitimni portali, ki jih žrtve dnevno uporabljajo. V okviru napada je akterjem groženj uspelo zbrati 9.931 poverilnic zaposlenih v 136 podjetjih, 3.129 zapisov z e-pošto in skupno 5.441 zapisov, ki vsebujejo kode MFA.