0ktapus Phishing Kit

Siber suçlular, bir dizi siber saldırının parçası olarak 130'dan fazla kuruluşu ihlal etmeyi başardı. Suç operasyonları, '0ktapus' adlı bir kimlik avı kitinin kullanıldığı yaygın ve iyi hazırlanmış bir kimlik avı kampanyasıyla başlar. Güvenlik araştırmacıları tarafından hazırlanan bir rapora göre, tehdit aktörleri sadece birkaç ay içinde yaklaşık 10.000 giriş bilgisi toplayabildi. Operasyonun en az Mart 2022'den beri aktif olduğuna inanılıyor. 0ktapus kampanyasının amacı, Okta kimlik bilgilerinin ve 2FA (iki faktörlü yetkilendirme) kodlarının çalınması gibi görünüyor. Elde edilen gizli verilerle siber suçlular, daha sonra tedarik zinciri saldırıları gibi operasyonları gerçekleştirmeyi amaçladı.

Rapora göre, 0ktapus kimlik avı kiti, finans, kripto, teknoloji, işe alım, telekomünikasyon ve daha pek çok sektörden şirketlere karşı kullanıldı. Hedeflenen şirketlerden bazıları AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy ve diğerleri.

Saldırılar, bir kimlik avı sayfasına bağlantı içeren cazibeli SMS mesajlarıyla başlar. Web sitesi, meşru Okta giriş sayfasına çok benziyor ve kullanıcılardan hesap kimlik bilgilerini ve 2FA kodlarını vermelerini istiyor. Okta, bir IdaaS (Hizmet Olarak Kimlik) platformudur; bu, esas olarak, çalışanların, şirketlerinde ihtiyaç duydukları tüm yazılım varlıklarına erişmek için tek bir oturum açma hesabı ve kimlik bilgilerini kullanabilecekleri anlamına gelir. Girilen kimlik bilgileri ve 2FA kodları sahte site tarafından kazındı ve bilgisayar korsanları tarafından kontrol edilen bir Telegram hesabına iletildi.

Doğal olarak, hedeflenen çalışanların Okta kimlik bilgilerinin tehlikeye atılması, saldırganların, ihlal edilen kuruluşlar içinde çok çeşitli hain eylemler gerçekleştirmesine izin verecektir. Ve tehdit aktörlerinin kurumsal VPN'lere, ağlara, dahili müşteri destek sistemlerine vb. erişim kazanmasıyla yaptılar. Toplanan müşteri verileri, Signal ve DigitalOcean müşterilerini hedef alan tedarik zinciri saldırıları gerçekleştirmek için siber suçlular tarafından kullanıldı.

0ktapus kimlik avı kampanyası ayrıca Twilio, Klaviyo, MailChimp gibi büyük kuruluşlarda veri ihlallerine ve Cloudflare'a karşı bir saldırı girişimine yol açtı. Şimdiye kadar araştırmacılar, 0ktapus operasyonunun bir parçası olarak tehdit aktörlerinin oluşturduğu 169 benzersiz kimlik avı alanı belirledi. Uydurulmuş sayfalar, hedeflenen her şirketin uygun temasına benzeyecek şekilde tasarlandı ve ilk bakışta, kurbanlar tarafından günlük olarak kullanılan meşru portallar gibi görünüyor. Saldırı kapsamında tehdit aktörleri, 136 şirketin çalışanlarından 9.931 kimlik, e-posta ile 3.129 kayıt ve MFA kodlarını içeren toplam 5.441 kayıt toplamayı başardı.