在大規模活動中部署的 0ktapus 網絡釣魚工具包

最近執行的大規模網絡釣魚活動影響了一百多個組織和公司。使用的工具與網絡釣魚活動背後的威脅參與者同名 - 0ktapus。

該活動預計最早於 2022 年 3 月開始,並持續數月。該活動中幾乎所有的目標實體都使用 Okta 平台作為他們選擇的身份管理平台,這也是該活動被稱為 0ktapus 的原因。

在攻擊中截獲和竊取的憑據和多因素身份驗證代碼後來被用於通過 VPN 和提供遠程訪問的設備非法訪問受害者網絡。

受害者名單既長又長,令人印象深刻,包括 T-Mobile、Slack、AT&T Mobile、CoinBase、Epic Games、微軟、百思買和 Twitter。

攻擊是使用惡意 SMS 消息完成的。惡意文本包含指向網絡釣魚門戶的鏈接,被修改為類似於合法的 Okta 登錄頁面。上鉤的受害者必須在網絡釣魚表單中輸入他們的登錄憑據和多因素身份驗證代碼。該活動是使用 0ktapus 運營的近 170 個域執行的。

一旦被盜,登錄憑據就會被轉發到攻擊者控制的 Telegram 頻道。近萬條用戶憑證字符串在攻擊中被盜,還有超過 3000 封電子郵件被盜。

August 29, 2022