0ktapus-Phishing-Kit in massiver Kampagne eingesetzt

Eine kürzlich durchgeführte groß angelegte Phishing-Kampagne betraf über hundert Organisationen und Unternehmen. Das verwendete Tool trägt den gleichen Namen wie der Bedrohungsakteur hinter der Phishing-Kampagne – 0ktapus.

Die Kampagne soll bereits im März 2022 begonnen und sich über Monate erstreckt haben. Fast alle von der Kampagne betroffenen Unternehmen nutzten die Okta-Plattform als bevorzugte Identitätsverwaltungsplattform, weshalb die Kampagne auch 0ktapus genannt wurde.

Bei dem Angriff abgefangene und gestohlene Anmeldeinformationen und Multi-Faktor-Authentifizierungscodes wurden später verwendet, um über VPNs und Geräte, die Fernzugriff bieten, illegalen Zugriff auf Opfernetzwerke zu erhalten.

Die Liste der Opfer ist ebenso beeindruckend wie lang und umfasst Namen wie T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy und Twitter.

Der Angriff wurde mit bösartigen SMS-Nachrichten abgezogen. Die bösartigen Texte enthielten einen Link zu einem Phishing-Portal, das manipuliert wurde, um einer legitimen Anmeldeseite von Okta zu ähneln. Die Opfer, die den Köder geschluckt haben, mussten sowohl ihre Anmeldedaten als auch ihre Multi-Faktor-Authentifizierungscodes in das Phishing-Formular eingeben. Die Kampagne wurde mit fast 170 Domains durchgeführt, die von 0ktapus betrieben wurden.

Nach dem Diebstahl wurden die Anmeldedaten an einen von den Angreifern kontrollierten Telegram-Kanal weitergeleitet. Bei dem Angriff wurden fast 10.000 Benutzeranmeldedaten gestohlen, zusammen mit über 3.000 E-Mails.