0ktapus phishing-sett utplassert i massiv kampanje

En storstilt phishing-kampanje som nylig ble utført, berørte over hundre organisasjoner og selskaper. Verktøyet som brukes bærer samme navn som trusselaktøren bak phishing-kampanjen – 0ktapus.

Kampanjen anslås å ha startet allerede i mars 2022 og strekker seg over måneder. Nesten alle entiteter målrettet i kampanjen brukte Okta-plattformen som deres foretrukne identitetsadministrasjonsplattform, og det er også grunnen til at kampanjen ble kalt 0ktapus.

Legitimasjon og multifaktorautentiseringskoder fanget opp og stjålet i angrepet ble senere brukt for å få ulovlig tilgang til offernettverk gjennom VPN-er og enheter som gir ekstern tilgang.

Listen over ofre er like imponerende som den er lang og inkluderer navn som T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy og Twitter.

Angrepet ble utført ved hjelp av ondsinnede SMS-meldinger. De ondsinnede tekstene inneholdt en lenke til en phishing-portal, behandlet for å ligne en legitim Okta-påloggingsside. Ofrene som tok agnet måtte legge inn både påloggingsinformasjon og multifaktorautentiseringskoder i phishing-skjemaet. Kampanjen ble utført med nesten 170 domener som ble operert av 0ktapus.

Etter å ha blitt stjålet, ble påloggingsinformasjonen videresendt til en Telegram-kanal kontrollert av angriperne. Nesten 10 tusen brukerlegitimasjonsstrenger ble stjålet i angrepet, sammen med over 3 tusen e-poster.