0ktapus Phishing Kit
Nagawa ng mga cybercriminal na labagin ang mahigit 130 organisasyon bilang bahagi ng isang string ng cyberattacks. Ang mga kriminal na operasyon ay nagsisimula sa isang malawak at mahusay na ginawang kampanya sa phishing na gumagamit ng isang phishing kit na pinangalanang '0ktapus.' Ayon sa isang ulat ng mga mananaliksik sa seguridad, ang mga aktor ng pagbabanta ay nakakolekta ng halos 10,000 mga kredensyal sa pag-log in sa loob lamang ng ilang buwan. Ang operasyon ay pinaniniwalaang naging aktibo mula noong Marso 2022. Ang layunin ng kampanyang 0ktapus ay ang pagnanakaw ng mga kredensyal ng pagkakakilanlan ng Okta at 2FA (two-factor authorization) code. Sa nakuhang kumpidensyal na data, ang mga cybercriminal ay naglalayong magsagawa ng mga kasunod na operasyon, tulad ng mga pag-atake sa supply chain.
Ayon sa ulat, ang 0ktapus phishing kit ay ginamit laban sa mga kumpanya mula sa maraming sektor ng industriya, kabilang ang pananalapi, crypto, teknolohiya, recruiting, telekomunikasyon at marami pa. Ang ilan sa mga target na kumpanya ay ang AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy at iba pa.
Ang mga pag-atake ay nagsisimula sa pang-akit na mga mensaheng SMS na naglalaman ng isang link sa isang pahina ng phishing. Ang website ay malapit na kahawig ng lehitimong pahina ng pag-login sa Okta at hinihimok ang mga user na ibigay ang kanilang mga kredensyal sa account at 2FA code. Ang Okta ay isang platform ng IDaaS (Identity-as-a-Service), na nangangahulugan na ang mga empleyado ay maaaring gumamit ng isang account sa pag-log in at mga kredensyal upang ma-access ang lahat ng mga asset ng software na kailangan nila sa loob ng kanilang kumpanya. Ang mga ipinasok na kredensyal at 2FA code ay kinalkal ng pekeng site at ipinadala sa isang Telegram account na kinokontrol ng mga hacker.
Naturally, ang pagkompromiso sa mga kredensyal ng Okta ng mga target na empleyado ay magbibigay-daan sa mga umaatake na magsagawa ng malawak na hanay ng mga kasuklam-suklam na aksyon sa loob ng mga nilabag na organisasyon. At ginawa nila, kasama ang mga banta ng aktor na nakakakuha ng access sa mga corporate VPN, network, internal na customer support system, atbp. Ang nakolektang data ng customer ay pinagsamantalahan ng mga cybercriminal upang magsagawa ng mga pag-atake ng supply-chain na nagta-target sa mga kliyente ng Signal at DigitalOcean.
Ang 0ktapus phishing campaign ay humantong din sa mga paglabag sa data sa mga pangunahing organisasyon, tulad ng Twilio, Klaviyo, MailChimp at isang pagtatangkang pag-atake laban sa Cloudflare. Sa ngayon, natukoy ng mga mananaliksik ang 169 natatanging domain ng phishing na ginawa ng mga aktor ng pagbabanta bilang bahagi ng operasyon ng 0ktapus. Ang mga gawa-gawang pahina ay idinisenyo upang maging katulad ng naaangkop na tema ng bawat naka-target na kumpanya at, sa unang tingin, ay lilitaw na ang mga lehitimong portal na ginagamit ng mga biktima araw-araw. Bilang bahagi ng pag-atake, ang mga aktor ng banta ay nakakolekta ng 9,931 na kredensyal mula sa mga empleyado ng 136 na kumpanya, 3,129 na talaan na may mga email at kabuuang 5,441 na talaan na naglalaman ng mga MFA code.
