0ktapus adathalász készlet egy hatalmas kampányban

A közelmúltban végrehajtott nagyszabású adathalász kampány több mint száz szervezetet és vállalatot érintett. A használt eszköz ugyanazt a nevet viseli, mint az adathalász kampány mögött fenyegető szereplő – 0ktapus.

A kampány a becslések szerint már 2022 márciusában elkezdődött, és hónapokig tart. Szinte minden, a kampányban megcélzott entitás az Okta platformot használta identitáskezelési platformként, ezért is kapta a kampány a 0ktapus nevet.

A támadás során elfogott és ellopott hitelesítő adatokat és többtényezős hitelesítési kódokat később arra használták fel, hogy VPN-eken és távoli hozzáférést biztosító eszközökön keresztül illegálisan hozzáférjenek az áldozati hálózatokhoz.

Az áldozatok listája olyan lenyűgöző, mint hosszú, és olyan neveket tartalmaz, mint a T-Mobile, a Slack, az AT&T Mobile, a CoinBase, az Epic Games, a Microsoft, a Best Buy és a Twitter.

A támadást rosszindulatú SMS-ek segítségével hajtották végre. A rosszindulatú szövegek egy adathalász portálra mutató hivatkozást tartalmaztak, amelyet úgy alakítottak ki, hogy egy legitim Okta bejelentkezési oldalra hasonlítson. A csalit bevitt áldozatoknak mind a bejelentkezési adataikat, mind a többtényezős hitelesítési kódjukat meg kellett adniuk az adathalász űrlapon. A kampányt közel 170 domain felhasználásával hajtották végre, amelyeket a 0ktapus üzemeltetett.

Miután ellopták, a bejelentkezési adatokat továbbították a támadók által irányított Telegram-csatornára. A támadás során közel 10 ezer felhasználói hitelesítő karakterláncot loptak el, valamint több mint 3 ezer e-mailt.