0ktapus Phishing Kit

Сајбер криминалци су успели да провале преко 130 организација као део низа сајбер напада. Криминалне операције почињу широко распрострањеном и добро осмишљеном пхисхинг кампањом која користи пхисхинг комплет под називом '0ктапус.' Према извештају истраживача безбедности, актери претњи су успели да прикупе скоро 10.000 акредитива за само неколико месеци. Верује се да је операција била активна најмање од марта 2022. Чини се да је циљ кампање 0ктапус била крађа акредитива Окта идентитета и 2ФА (двофакторска ауторизација) кодова. Са добијеним поверљивим подацима, сајбер криминалци су имали за циљ да изврше накнадне операције, попут напада на ланац снабдевања.

Према извештају, 0ктапус пхисхинг комплет је био искоришћен против компанија из више сектора индустрије, укључујући финансије, криптовалуте, технологију, регрутовање, телекомуникације и многе друге. Неке од циљаних компанија су АТ&Т, Т-Мобиле, Веризон Вирелесс, Слацк, Бинанце, ЦоинБасе, Твиттер, Мицрософт, Риот Гамес, Епиц Гамес, ХубСпот, Бест Буи и друге.

Напади почињу тако што се примају СМС поруке које садрже линк ка страници за пхисхинг. Веб локација веома личи на легитимну страницу за пријаву на Окта и тражи од корисника да дају своје акредитиве налога и 2ФА кодове. Окта је ИДааС (Идентити-ас-а-Сервице) платформа, што у суштини значи да запослени могу да користе један налог за пријаву и акредитиве за приступ свим софтверским средствима која су им потребна у њиховој компанији. Унесене акредитиве и 2ФА кодове су састругали лажни сајт и пренели на Телеграм налог који су контролисали хакери.

Наравно, компромитовање Окта акредитива циљаних запослених омогућило би нападачима да изведу широк спектар злих радњи унутар угрожених организација. И јесу, са актерима претњи који су добили приступ корпоративним ВПН-овима, мрежама, интерним системима за корисничку подршку, итд. Сакупљене податке о клијентима су искористили сајбер криминалци за извођење напада на ланац снабдевања усмерених на клијенте Сигнала и ДигиталОцеана.

0ктапус пхисхинг кампања је такође довела до кршења података у великим организацијама, као што су Твилио, Клавиио, МаилЦхимп и покушај напада на Цлоудфларе. До сада су истраживачи идентификовали 169 јединствених пхисхинг домена које су актери претњи креирали као део операције 0ктапус. Измишљене странице су дизајниране да личе на одговарајућу тему сваке циљане компаније и, на први поглед, изгледало би као легитимни портали које жртве свакодневно користе. У склопу напада, актери претњи успели су да прикупе 9.931 акредитив од запослених у 136 компанија, 3.129 записа са имејловима и укупно 5.441 евиденцију са МФА шифрама.