在大规模活动中部署的 0ktapus 网络钓鱼工具包

最近执行的大规模网络钓鱼活动影响了一百多个组织和公司。使用的工具与网络钓鱼活动背后的威胁参与者同名 - 0ktapus。

该活动预计最早于 2022 年 3 月开始,并持续数月。该活动中几乎所有的目标实体都使用 Okta 平台作为他们选择的身份管理平台,这也是该活动被称为 0ktapus 的原因。

在攻击中截获和窃取的凭据和多因素身份验证代码后来被用于通过 VPN 和提供远程访问的设备非法访问受害者网络。

受害者名单既长又长,令人印象深刻,包括 T-Mobile、Slack、AT&T Mobile、CoinBase、Epic Games、微软、百思买和 Twitter。

攻击是使用恶意 SMS 消息完成的。恶意文本包含指向网络钓鱼门户的链接,被修改为类似于合法的 Okta 登录页面。上钩的受害者必须在网络钓鱼表单中输入他们的登录凭据和多因素身份验证代码。该活动是使用 0ktapus 运营的近 170 个域执行的。

一旦被盗,登录凭据就会被转发到攻击者控制的 Telegram 频道。近万条用户凭证字符串在攻击中被盗,还有超过 3000 封电子邮件被盗。

August 29, 2022