Το κιτ phishing 0ktapus αναπτύχθηκε σε μαζική καμπάνια

Μια μεγάλης κλίμακας εκστρατεία phishing που εκτελέστηκε πρόσφατα επηρέασε περισσότερους από εκατό οργανισμούς και εταιρείες. Το εργαλείο που χρησιμοποιείται φέρει το ίδιο όνομα με τον παράγοντα απειλής πίσω από την εκστρατεία phishing - 0ktapus.

Η εκστρατεία εκτιμάται ότι ξεκίνησε τον Μάρτιο του 2022 και επεκτάθηκε σε μήνες. Σχεδόν όλες οι οντότητες που στοχεύτηκαν στην καμπάνια χρησιμοποίησαν την πλατφόρμα Okta ως πλατφόρμα διαχείρισης ταυτότητας της επιλογής τους, γι' αυτό και η καμπάνια ονομάστηκε 0ktapus.

Τα διαπιστευτήρια και οι κωδικοί ελέγχου ταυτότητας πολλαπλών παραγόντων που υποκλαπούν και κλάπηκαν κατά την επίθεση χρησιμοποιήθηκαν αργότερα για να αποκτήσουν παράνομη πρόσβαση στα δίκτυα των θυμάτων μέσω VPN και συσκευών που παρέχουν απομακρυσμένη πρόσβαση.

Η λίστα των θυμάτων είναι τόσο εντυπωσιακή όσο και μεγάλη και περιλαμβάνει ονόματα όπως T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy και Twitter.

Η επίθεση αποσύρθηκε χρησιμοποιώντας κακόβουλα μηνύματα SMS. Τα κακόβουλα κείμενα περιείχαν έναν σύνδεσμο προς μια πύλη ηλεκτρονικού ψαρέματος, σχεδιασμένη ώστε να μοιάζει με νόμιμη σελίδα σύνδεσης της Okta. Τα θύματα που πήραν το δόλωμα έπρεπε να εισάγουν τόσο τα διαπιστευτήρια σύνδεσής τους όσο και τους κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων στη φόρμα phishing. Η καμπάνια εκτελέστηκε χρησιμοποιώντας σχεδόν 170 τομείς που λειτουργούσαν από την 0ktapus.

Μόλις κλαπούν, τα διαπιστευτήρια σύνδεσης προωθήθηκαν σε ένα κανάλι Telegram που ελέγχεται από τους εισβολείς. Σχεδόν 10 χιλιάδες συμβολοσειρές διαπιστευτηρίων χρήστη κλάπηκαν στην επίθεση, μαζί με πάνω από 3 χιλιάδες μηνύματα ηλεκτρονικού ταχυδρομείου.