0ktapus Phishing Kit implementeret i massiv kampagne
En storstilet phishing-kampagne, der blev gennemført for nylig, påvirkede over hundrede organisationer og virksomheder. Det anvendte værktøj bærer samme navn som trusselsaktøren bag phishing-kampagnen - 0ktapus.
Kampagnen anslås at være startet allerede i marts 2022 og strækket sig over måneder. Næsten alle målrettede enheder i kampagnen brugte Okta-platformen som deres foretrukne identitetsstyringsplatform, hvilket også er grunden til, at kampagnen blev døbt 0ktapus.
Legitimationsoplysninger og multi-faktor-godkendelseskoder, der blev opsnappet og stjålet i angrebet, blev senere brugt til at få ulovlig adgang til ofrets netværk gennem VPN'er og enheder, der giver fjernadgang.
Listen over ofre er lige så imponerende, som den er lang og inkluderer navne som T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy og Twitter.
Angrebet blev gennemført ved hjælp af ondsindede SMS-beskeder. De ondsindede tekster indeholdt et link til en phishing-portal, der var udformet til at ligne en legitim Okta-loginside. Ofrene, der tog lokket, skulle indtaste både deres loginoplysninger og deres multifaktorautentificeringskoder i phishing-formularen. Kampagnen blev udført ved hjælp af næsten 170 domæner, der blev drevet af 0ktapus.
Når først de blev stjålet, blev loginoplysningerne videresendt til en Telegram-kanal kontrolleret af angriberne. Næsten 10.000 brugerlegitimationsstrenge blev stjålet under angrebet, sammen med over 3.000 e-mails.