0ktapus Phishing Kit

作為一系列網絡攻擊的一部分，網絡犯罪分子已經成功入侵了 130 多個組織。犯罪行動始於使用名為“0ktapus”的網絡釣魚工具包進行的廣泛且精心設計的網絡釣魚活動。根據安全研究人員的一份報告，威脅參與者能夠在短短幾個月內收集近 10,000 個登錄憑據。據信，該行動至少從 2022 年 3 月開始就一直在進行。0ktapus 活動的目標似乎是盜竊 Okta 身份憑證和 2FA（雙因素授權）代碼。借助獲得的機密數據，網絡犯罪分子旨在進行後續操作，例如供應鏈攻擊。

根據該報告，0ktapus 網絡釣魚工具包被用於多個行業的公司，包括金融、加密、技術、招聘、電信等。一些目標公司是 AT&T、T-Mobile、Verizon Wireless、Slack、Binance、CoinBase、Twitter、微軟、Riot Games、Epic Games、HubSpot、Best Buy 等。

攻擊首先是引誘 SMS 消息，其中包含指向網絡釣魚頁面的鏈接。該網站非常類似於合法的 Okta 登錄頁面，並提示用戶提供他們的帳戶憑據和 2FA 代碼。 Okta 是一個 IDaaS（身份即服務）平台，這實質上意味著員工可以使用單個登錄帳戶和憑據來訪問他們在公司內需要的所有軟件資產。輸入的憑據和 2FA 代碼被假網站抓取並傳輸到黑客控制的 Telegram 帳戶。

自然，破壞目標員工的 Okta 憑據將使攻擊者能夠在被破壞的組織內執行大量惡意操作。他們確實做到了，威脅參與者可以訪問公司 VPN、網絡、內部客戶支持系統等。網絡犯罪分子利用收集到的客戶數據對 Signal 和 DigitalOcean 的客戶進行供應鏈攻擊。

0ktapus 網絡釣魚活動還導致 Twilio、Klaviyo、MailChimp 等主要組織的數據洩露以及對 Cloudflare 的攻擊未遂。到目前為止，研究人員已經確定了 169 個獨特的網絡釣魚域，這些域是攻擊者在 0ktapus 操作中創建的。偽造頁面的設計類似於每個目標公司的適當主題，乍一看，似乎是受害者每天使用的合法門戶。作為攻擊的一部分，威脅參與者已設法從 136 家公司的員工那裡收集了 9,931 份憑據、3,129 條電子郵件記錄以及總共 5,441 條包含 MFA 代碼的記錄。