0ktapus Phishing Kit utplacerat i massiv kampanj

En storskalig nätfiskekampanj som nyligen genomfördes påverkade över hundra organisationer och företag. Verktyget som används bär samma namn som hotaktören bakom nätfiskekampanjen - 0ktapus.

Kampanjen beräknas ha startat redan i mars 2022 och sträckt sig över månader. Nästan alla enheter som riktades in i kampanjen använde Okta-plattformen som sin plattform för identitetshantering, vilket också är anledningen till att kampanjen döptes till 0ktapus.

Autentiseringsuppgifter och multifaktorautentiseringskoder som fångats upp och stulits i attacken användes senare för att få olaglig åtkomst till offrens nätverk genom VPN och enheter som ger fjärråtkomst.

Listan över offer är lika imponerande som lång och innehåller namn som T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy och Twitter.

Attacken avbröts med skadliga SMS-meddelanden. De skadliga texterna innehöll en länk till en nätfiskeportal, manipulerad för att likna en legitim Okta-inloggningssida. Offren som tog betet var tvungna att ange både sina inloggningsuppgifter och sina multifaktorautentiseringskoder i nätfiskeformuläret. Kampanjen genomfördes med nästan 170 domäner som drevs av 0ktapus.

När de hade stulits skickades inloggningsuppgifterna vidare till en Telegram-kanal som kontrollerades av angriparna. Närmare 10 tusen användaruppgifter stals i attacken, tillsammans med över 3 tusen e-postmeddelanden.