0ktapus sukčiavimo rinkinys, įdiegtas didžiulėje kampanijoje

Neseniai vykdyta didelio masto sukčiavimo kampanija palietė daugiau nei šimtą organizacijų ir įmonių. Naudojamas įrankis pavadintas tuo pačiu pavadinimu kaip ir sukčiavimo kampaniją sukėlusio grėsmės veikėjo – 0ktapus.

Apskaičiuota, kad kampanija prasidėjo 2022 m. kovo mėnesį ir tęsėsi kelis mėnesius. Beveik visi subjektai, kuriems buvo skirta kampanija, naudojo Okta platformą kaip pasirinktą tapatybės valdymo platformą, todėl kampanija buvo pavadinta 0ktapus.

Per ataką perimti ir pavogti kredencialai ir kelių veiksnių autentifikavimo kodai vėliau buvo panaudoti neteisėtai prieigai prie aukų tinklų per VPN ir įrenginius, teikiančius nuotolinę prieigą.

Aukų sąrašas yra toks pat įspūdingas, kaip ir ilgas ir apima tokius pavadinimus kaip „T-Mobile“, „Slack“, „AT&T Mobile“, „CoinBase“, „Epic Games“, „Microsoft“, „Best Buy“ ir „Twitter“.

Ataka buvo nutraukta naudojant kenkėjiškas SMS žinutes. Kenkėjiškuose tekstuose buvo nuoroda į sukčiavimo portalą, panašų į teisėtą Okta prisijungimo puslapį. Aukos, paėmusios masalą, sukčiavimo formoje turėjo įvesti ir savo prisijungimo duomenis, ir kelių veiksnių autentifikavimo kodus. Kampanija buvo vykdoma naudojant beveik 170 domenų, kuriuos valdė 0ktapus.

Pavogus prisijungimo duomenis, jie buvo persiųsti į „Telegram“ kanalą, kurį valdė užpuolikai. Per ataką buvo pavogta beveik 10 tūkstančių vartotojo kredencialų ir daugiau nei 3 tūkstančiai el.