0ktapus Phishing Kit

Кіберзлочинцям вдалося зламати понад 130 організацій у рамках серії кібератак. Злочинні операції починаються з широкомасштабної та добре розробленої фішингової кампанії з використанням фішингового набору під назвою «0ktapus». Згідно зі звітом дослідників безпеки, зловмисники змогли зібрати майже 10 000 облікових даних лише за пару місяців. Вважається, що операція була активна принаймні з березня 2022 року. Схоже, що метою кампанії 0ktapus була крадіжка облікових даних Okta та кодів 2FA (двофакторної авторизації). Використовуючи отримані конфіденційні дані, кіберзлочинці мали на меті здійснити наступні операції, такі як атаки на ланцюги поставок.

Згідно зі звітом, фішинговий набір 0ktapus використовувався проти компаній з багатьох галузей, включаючи фінанси, криптографію, технології, рекрутинг, телекомунікації та багато іншого. Деякі з цільових компаній: AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy та інші.

Атаки починаються з заманливих SMS-повідомлень, що містять посилання на фішингову сторінку. Веб-сайт дуже нагадує законну сторінку входу Okta та пропонує користувачам надати облікові дані свого облікового запису та коди 2FA. Okta — це платформа IDaaS (Identity-as-a-Service), яка, по суті, означає, що співробітники можуть використовувати єдиний обліковий запис і облікові дані для доступу до всіх програмних активів, які їм потрібні в компанії. Введені облікові дані та коди 2FA були зібрані фейковим сайтом і передані в обліковий запис Telegram, контрольований хакерами.

Природно, компрометація облікових даних Okta цільових співробітників дозволить зловмисникам виконувати широкий спектр мерзенних дій у зламаних організаціях. І вони це зробили, коли зловмисники отримали доступ до корпоративних VPN, мереж, внутрішніх систем підтримки клієнтів тощо. Кіберзлочинці використовували зібрані дані клієнтів для здійснення атак на ланцюги поставок, націлених на клієнтів Signal і DigitalOcean.

Фішингова кампанія 0ktapus також призвела до витоку даних у великих організаціях, таких як Twilio, Klaviyo, MailChimp, і спробі атаки на Cloudflare. Наразі дослідники ідентифікували 169 унікальних фішингових доменів, створених зловмисниками в рамках операції 0ktapus. Сфабриковані сторінки були розроблені так, щоб нагадувати відповідну тематику кожної цільової компанії та, на перший погляд, виглядали б як законні портали, якими щодня користуються жертви. У рамках атаки зловмисникам вдалося зібрати %6$s1 облікових даних від співробітників 136 компаній, 3129 записів з електронними листами та загалом 5441 записів, що містять коди MFA.