0ktapus Phishing Kit

Kriminelët kibernetikë kanë arritur të shkelin mbi 130 organizata si pjesë e një vargu sulmesh kibernetike. Operacionet kriminale fillojnë me një fushatë phishing të përhapur dhe të mirë-projektuar duke përdorur një komplet phishing të quajtur '0ktapus'. Sipas një raporti nga studiues të sigurisë, aktorët e kërcënimit ishin në gjendje të mblidhnin gati 10,000 kredenciale hyrjeje në vetëm disa muaj. Operacioni besohet të ketë qenë aktiv të paktën që nga marsi 2022. Qëllimi i fushatës 0ktapus duket se ka qenë vjedhja e kredencialeve të identitetit të Okta dhe kodeve 2FA (autorizim me dy faktorë). Me të dhënat konfidenciale të marra, kriminelët kibernetikë synuan të kryenin operacione të mëvonshme, si sulmet e zinxhirit të furnizimit.

Sipas raportit, kompleti i phishing 0ktapus u përdor kundër kompanive nga sektorë të ndryshëm të industrisë, duke përfshirë financat, kriptomat, teknologjinë, rekrutimin, telekomunikacionin dhe shumë të tjera. Disa nga kompanitë e synuara janë AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy dhe të tjera.

Sulmet fillojnë me mesazhe SMS joshëse që përmbajnë një lidhje në një faqe phishing. Faqja e internetit i ngjan shumë faqes legjitime të hyrjes në Okta dhe i nxit përdoruesit të japin kredencialet e llogarisë së tyre dhe kodet 2FA. Okta është një platformë IDaaS (Identity-as-a-Service), që në thelb do të thotë se punonjësit mund të përdorin një llogari të vetme hyrjeje dhe kredenciale për të hyrë në të gjitha asetet e softuerit që u nevojiten brenda kompanisë së tyre. Kredencialet e futura dhe 2 kodet FA u gërvishtën nga faqja e rreme dhe u transmetuan në një llogari Telegram të kontrolluar nga hakerët.

Natyrisht, komprometimi i kredencialeve të Okta-s të punonjësve të synuar do t'i lejonte sulmuesit të kryenin një gamë të gjerë veprimesh të liga brenda organizatave të shkelura. Dhe ata e bënë, me aktorët e kërcënimit që fituan akses në VPN-të e korporatave, rrjetet, sistemet e brendshme të mbështetjes së klientit, etj. Të dhënat e mbledhura të klientëve u shfrytëzuan nga kriminelët kibernetikë për të kryer sulme të zinxhirit të furnizimit që synonin klientët e Signal dhe DigitalOcean.

Fushata e phishing 0ktapus gjithashtu ka çuar në shkelje të të dhënave në organizatat kryesore, si Twilio, Klaviyo, MailChimp dhe një tentativë sulmi kundër Cloudflare. Deri më tani, studiuesit kanë identifikuar 169 fusha unike të phishing që aktorët e kërcënimit krijuan si pjesë e operacionit 0ktapus. Faqet e fabrikuara u krijuan që t'i ngjanin tematikës së duhur të çdo kompanie të synuar dhe, në shikim të parë, do të dukeshin si portalet legjitime të përdorura nga viktimat çdo ditë. Si pjesë e sulmit, aktorët e kërcënimit kanë arritur të mbledhin 9,931 kredenciale nga punonjësit e 136 kompanive, 3,129 regjistrime me email dhe gjithsej 5,441 regjistrime që përmbajnë kode MPJ.