0ktapus Phishing Kit

อาชญากรไซเบอร์สามารถโจมตีองค์กรได้กว่า 130 องค์กร ซึ่งเป็นส่วนหนึ่งของการโจมตีทางไซเบอร์ การปฏิบัติการทางอาญาเริ่มต้นด้วยแคมเปญฟิชชิ่งที่แพร่หลายและมีฝีมือดีโดยใช้ชุดฟิชชิ่งชื่อ '0ktapus' ตามรายงานของนักวิจัยด้านความปลอดภัย ผู้คุกคามสามารถรวบรวมข้อมูลรับรองการเข้าสู่ระบบได้เกือบ 10,000 รายการในเวลาเพียงไม่กี่เดือน เชื่อว่าการดำเนินการดังกล่าวมีการดำเนินการตั้งแต่อย่างน้อยมีนาคม 2022 เป้าหมายของแคมเปญ 0ktapus ดูเหมือนจะเป็นการขโมยข้อมูลประจำตัวของ Okta และรหัส 2FA (การให้สิทธิ์แบบสองปัจจัย) ด้วยข้อมูลลับที่ได้รับ อาชญากรไซเบอร์จึงมุ่งเป้าไปที่การดำเนินการในภายหลัง เช่น การโจมตีห่วงโซ่อุปทาน

ตามรายงาน ชุดฟิชชิ่ง 0ktapus ถูกใช้ประโยชน์จากบริษัทจากหลายภาคส่วนอุตสาหกรรม รวมถึงการเงิน คริปโต เทคโนโลยี การสรรหา การสื่อสารโทรคมนาคม และอื่นๆ อีกมากมาย บริษัทเป้าหมายบางแห่ง ได้แก่ AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy และอื่นๆ

การโจมตีเริ่มต้นด้วยการล่อข้อความ SMS ที่มีลิงก์ไปยังหน้าฟิชชิ่ง เว็บไซต์มีลักษณะคล้ายกับหน้าเข้าสู่ระบบ Okta ที่ถูกต้องตามกฎหมาย และแจ้งให้ผู้ใช้ระบุข้อมูลบัญชีและรหัส 2FA Okta เป็นแพลตฟอร์ม IDaaS (Identity-as-a-Service) ซึ่งหมายความว่าพนักงานสามารถใช้บัญชีเข้าสู่ระบบเดียวและข้อมูลประจำตัวเพื่อเข้าถึงสินทรัพย์ซอฟต์แวร์ทั้งหมดที่พวกเขาต้องการภายในบริษัทของตนได้ ข้อมูลประจำตัวที่ป้อนและรหัส 2FA ถูกคัดลอกโดยไซต์ปลอมและส่งไปยังบัญชี Telegram ที่ควบคุมโดยแฮกเกอร์

โดยปกติ การประนีประนอมข้อมูลประจำตัว Okta ของพนักงานที่เป็นเป้าหมายจะทำให้ผู้โจมตีสามารถดำเนินการต่างๆ ที่ชั่วร้ายภายในองค์กรที่ละเมิดได้ และพวกเขาก็ทำได้ โดยที่ผู้โจมตีสามารถเข้าถึง VPN ขององค์กร เครือข่าย ระบบสนับสนุนลูกค้าภายใน ฯลฯ ข้อมูลลูกค้าที่รวบรวมได้ถูกใช้โดยอาชญากรไซเบอร์เพื่อโจมตีห่วงโซ่อุปทานโดยมุ่งเป้าไปที่ลูกค้าของ Signal และ DigitalOcean

แคมเปญฟิชชิ่ง 0ktapus ยังนำไปสู่การละเมิดข้อมูลในองค์กรใหญ่ๆ เช่น Twilio, Klaviyo, MailChimp และการพยายามโจมตี Cloudflare จนถึงตอนนี้ นักวิจัยได้ระบุโดเมนฟิชชิ่ง 169 โดเมนที่ผู้คุกคามสร้างขึ้นซึ่งเป็นส่วนหนึ่งของการดำเนินการ 0ktapus เพจที่สร้างขึ้นได้รับการออกแบบให้คล้ายกับธีมที่เหมาะสมของแต่ละบริษัทเป้าหมาย และในแวบแรก ดูเหมือนว่าจะเป็นพอร์ทัลที่ถูกต้องตามกฎหมายที่เหยื่อใช้ทุกวัน ส่วนหนึ่งของการโจมตี ผู้คุกคามสามารถรวบรวม 9,931 ข้อมูลประจำตัวจากพนักงาน 136 บริษัท บันทึก 3,129 รายการพร้อมอีเมลและรวม 5,441 รายการที่มีรหัส MFA