0ktapus Phishing Kit

作为一系列网络攻击的一部分，网络犯罪分子已经成功入侵了 130 多个组织。犯罪行动始于使用名为“0ktapus”的网络钓鱼工具包进行的广泛且精心设计的网络钓鱼活动。根据安全研究人员的一份报告，威胁参与者能够在短短几个月内收集近 10,000 个登录凭据。据信，该行动至少从 2022 年 3 月开始就一直在进行。0ktapus 活动的目标似乎是盗窃 Okta 身份凭证和 2FA（双因素授权）代码。借助获得的机密数据，网络犯罪分子旨在进行后续操作，例如供应链攻击。

根据该报告，0ktapus 网络钓鱼工具包被用于多个行业的公司，包括金融、加密、技术、招聘、电信等。一些目标公司是 AT&T、T-Mobile、Verizon Wireless、Slack、Binance、CoinBase、Twitter、微软、Riot Games、Epic Games、HubSpot、Best Buy 等。

攻击首先是引诱 SMS 消息，其中包含指向网络钓鱼页面的链接。该网站非常类似于合法的 Okta 登录页面，并提示用户提供他们的帐户凭据和 2FA 代码。 Okta 是一个 IDaaS（身份即服务）平台，这实质上意味着员工可以使用单个登录帐户和凭据来访问他们在公司内需要的所有软件资产。输入的凭据和 2FA 代码被假网站抓取并传输到黑客控制的 Telegram 帐户。

自然，破坏目标员工的 Okta 凭据将使攻击者能够在被破坏的组织内执行大量恶意操作。他们确实做到了，威胁参与者可以访问公司 VPN、网络、内部客户支持系统等。网络犯罪分子利用收集到的客户数据对 Signal 和 DigitalOcean 的客户进行供应链攻击。

0ktapus 网络钓鱼活动还导致 Twilio、Klaviyo、MailChimp 等主要组织的数据泄露以及对 Cloudflare 的攻击未遂。到目前为止，研究人员已经确定了 169 个独特的网络钓鱼域，这些域是攻击者在 0ktapus 操作中创建的。伪造页面的设计类似于每个目标公司的适当主题，乍一看，似乎是受害者每天使用的合法门户。作为攻击的一部分，威胁参与者已设法从 136 家公司的员工那里收集了 9,931 份凭据、3,129 条电子邮件记录以及总共 5,441 条包含 MFA 代码的记录。