0ktapus Phishing Kit geïmplementeerd in massale campagne

Een grootschalige phishing-campagne die onlangs werd uitgevoerd, trof meer dan honderd organisaties en bedrijven. De gebruikte tool heeft dezelfde naam als de dreigingsactor achter de phishing-campagne - 0ktapus.

De campagne is naar schatting al in maart 2022 gestart en over maanden verlengd. Bijna alle entiteiten die in de campagne werden getarget, gebruikten het Okta-platform als hun voorkeursplatform voor identiteitsbeheer, en dat is ook de reden waarom de campagne 0ktapus werd genoemd.

Inloggegevens en multi-factor authenticatiecodes die tijdens de aanval werden onderschept en gestolen, werden later gebruikt om illegale toegang te krijgen tot netwerken van slachtoffers via VPN's en apparaten die externe toegang bieden.

De lijst met slachtoffers is even indrukwekkend als lang en bevat namen als T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy en Twitter.

De aanval werd uitgevoerd met behulp van kwaadaardige sms-berichten. De kwaadaardige teksten bevatten een link naar een phishing-portaal, gemanipuleerd om te lijken op een legitieme Okta-inlogpagina. De slachtoffers die het lokaas oppikten, moesten zowel hun inloggegevens als hun multi-factor authenticatiecodes invoeren in het phishing-formulier. De campagne werd uitgevoerd met behulp van bijna 170 domeinen die werden beheerd door 0ktapus.

Eenmaal gestolen, werden inloggegevens doorgestuurd naar een Telegram-kanaal dat door de aanvallers werd beheerd. Bij de aanval werden bijna 10 duizend gebruikersreferenties gestolen, samen met meer dan 3000 e-mails.