0ktapus フィッシング キットが大規模なキャンペーンで展開
最近実行された大規模なフィッシング キャンペーンは、100 を超える組織や企業に影響を与えました。使用されたツールは、フィッシング キャンペーンの背後にいる攻撃者と同じ名前の 0ktapus です。
このキャンペーンは、早ければ 2022 年 3 月に開始され、数か月に及ぶと推定されています。キャンペーンで標的にされたほぼすべてのエンティティが、選択した ID 管理プラットフォームとして Okta プラットフォームを使用しました。これが、キャンペーンが 0ktapus と呼ばれた理由でもあります。
攻撃で傍受されて盗まれた資格情報と多要素認証コードは、後で VPN やリモート アクセスを提供するデバイスを介して被害者のネットワークに不正にアクセスするために使用されました。
被害者のリストは長くて印象的で、T-Mobile、Slack、AT&T Mobile、CoinBase、Epic Games、Microsoft、Best Buy、Twitter などの名前が含まれています。
この攻撃は、悪意のある SMS メッセージを使用して実行されました。悪意のあるテキストには、フィッシング ポータルへのリンクが含まれており、正規の Okta ログイン ページに似せるように改ざんされていました。おとりにかかった被害者は、ログイン資格情報と多要素認証コードの両方をフィッシング フォームに入力する必要がありました。キャンペーンは、0ktapus が運営する約 170 のドメインを使用して実行されました。
ログイン資格情報が盗まれると、攻撃者が制御する Telegram チャネルに転送されました。この攻撃では、3,000 通を超える電子メールとともに、1 万件近くのユーザー資格情報文字列が盗まれました。