Фишинговый комплект 0ktapus развернут в масштабной кампании

Масштабная фишинговая кампания, проведенная недавно, затронула более сотни организаций и компаний. Используемый инструмент носит то же имя, что и злоумышленник, стоящий за фишинговой кампанией, — 0ktapus.

По оценкам, кампания началась еще в марте 2022 года и продлилась несколько месяцев. Почти все организации, на которые направлена кампания, использовали платформу Okta в качестве предпочтительной платформы для управления идентификацией, поэтому кампания получила название 0ktapus.

Учетные данные и коды многофакторной аутентификации, перехваченные и украденные в ходе атаки, позже использовались для получения незаконного доступа к сетям жертв через VPN и устройства, обеспечивающие удаленный доступ.

Список жертв настолько же впечатляющий, насколько и длинный, и включает такие имена, как T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy и Twitter.

Атака была осуществлена с помощью вредоносных SMS-сообщений. Вредоносные тексты содержали ссылку на фишинговый портал, подделанный под легитимную страницу входа в систему Okta. Жертвы, которые попались на приманку, должны были ввести как свои учетные данные для входа, так и коды многофакторной аутентификации в фишинговой форме. Кампания проводилась с использованием почти 170 доменов, которыми управлял 0ktapus.

После кражи учетные данные для входа были перенаправлены на канал Telegram, контролируемый злоумышленниками. В ходе атаки было украдено около 10 тысяч строк учетных данных пользователей, а также более 3 тысяч электронных писем.