Group-IB hat herausgefunden, dass die kürzlich aufgedeckte 0ktapus-Phishing-Kampagne auf die Mitarbeiter von Twilio und Cloudflare Teil der massiven Angriffskette waren, die dazu führte, dass 9.931.000 Konten von über 130 Organisationen kompromittiert wurden.
Die Kampagne erhielt von Forschern der Group-IB den Codenamen 0ktapus, da sie sich als ein beliebter Identitäts- und Zugriffsverwaltungsdienst ausgab. Die überwiegende Mehrheit der Opfer befindet sich in den Vereinigten Staaten und viele von ihnen nutzen die Identitäts- und Zugriffsverwaltungsdienste von Okta.
Group-IB Threat Intelligence-Teamentdeckte und analysierte die Phishing-Infrastruktur der Angreifer, einschließlich Phishing-Domains, des Phishing-Kits sowie des von den Angreifern kontrollierten Telegram-Kanals, um kompromittierte Informationen zu löschen. Alle von Group-IB-Forschern identifizierten Opferorganisationen wurden benachrichtigt und erhielten Listen mit kompromittierten Konten. Die Erkenntnisse über die mutmaßliche Identität des Bedrohungsakteurs wurden internationalen Strafverfolgungsbehörden mitgeteilt.
Ständig laufende Angriffskette
Am 26. Juli 2022 erhielt das Group-IB-Team eine Anfrage von seinem Threat Intelligence-Kunden, in der um zusätzliche Informationen zu einem kürzlichen Phishing-Versuch gegen seine Mitarbeiter gebeten wurde. Die Untersuchung ergab, dass diese Phishing-Angriffe sowie die Vorfälle bei Twilio und Cloudflare Glieder einer Kette waren. Eine einfache, aber sehr effektive einzelne Phishing-Kampagne von beispiellosem Umfang und Reichweite, die mindestens seit März 2022 aktiv ist. Eine Untersuchung des Falls des kompromittierten Messenger Signal zeigte, dass die Angreifer nachdem sie ein Unternehmen kompromittiert hatten, sofort weitere Angriffe auf die Lieferkette starteten.
Glück oder perfekte Planung?
„Es mag sein, dass der Bedrohungsakteur bei seinen Angriffen viel Glück gehabt hat. Allerdings ist es viel wahrscheinlicher, dass er seine Phishing-Kampagne sehr sorgfältig geplant hat, um ausgeklügelte Angriffe auf die Lieferkette zu starten. Es ist noch nicht klar, ob die Angriffe komplett durchgeplant waren oder ob in jeder Phase diverse Maßnahmen ergriffen wurden. Unabhängig davon war die 0ktapus-Kampagne unglaublich erfolgreich und das volle Ausmaß ist möglicherweise noch einige Zeit nicht bekannt.“ so Robert Martínez, Senior Threat Intelligence Analyst bei Group-IB, Europa.
Das Hauptziel der Bedrohungsakteure war es, Okta-Identitätsdaten und Zwei-Faktor-Authentifizierungscodes (2FA) von Benutzern der angegriffenen Organisationen zu erhalten. Diese Benutzer erhielten Textnachrichten mit Links zu Phishing-Sites, welche die Okta-Authentifizierungsseite ihrer Organisation nachahmten.
Woher stammen die Startdaten für den Angriff?
Noch ist unbekannt, wie Betrüger ihre Zielliste erstellten und wie sie an die Telefonnummern gelangten. Den von Group-IB analysierten kompromittierten Daten zufolge begannen die Bedrohungsakteure ihre Angriffe damit, dass sie Mobilfunkbetreiber und Telekommunikationsunternehmen angriffen. Dabei könnten sie die nötigen Daten für die weiteren Angriffe erbeutet haben.
Extrem viele Phishing-Domains
Forscher der Group-IB entdeckten 169 einzigartige Phishing-Domains, die an der 0ktapus-Kampagne beteiligt waren. Die Domains verwendeten Schlüsselwörter wie „SSO“, „VPN“, „OKTA“, „MFA“ und „HELP“. Aus Sicht der Opfers wirkten die Phishing-Seiten überzeugend, da sie den legitimen Authentifizierungsseiten extrem ähnlich waren.
Weitere Informationen und tiefere Ergebnisse der Untersuchung hält Group-IB auf seiner Webseite bereit.
Mehr bei Group-IB.com