0ktapus-Phishing-Kampagne: 130 Opfer wie Cloudflare oder MailChimp  

0ktapus-Phishing-Kampagne: 130 Opfer wie Cloudflare oder MailChimp  

Beitrag teilen

Group-IB hat herausgefunden, dass die kürzlich aufgedeckte 0ktapus-Phishing-Kampagne auf die Mitarbeiter von Twilio und Cloudflare Teil der massiven Angriffskette waren, die dazu führte, dass 9.931.000 Konten von über 130 Organisationen kompromittiert wurden.

Die Kampagne erhielt von Forschern der Group-IB den Codenamen 0ktapus, da sie sich als ein beliebter Identitäts- und Zugriffsverwaltungsdienst ausgab. Die überwiegende Mehrheit der Opfer befindet sich in den Vereinigten Staaten und viele von ihnen nutzen die Identitäts- und Zugriffsverwaltungsdienste von Okta.

Group-IB Threat Intelligence-Teamentdeckte und analysierte die Phishing-Infrastruktur der Angreifer, einschließlich Phishing-Domains, des Phishing-Kits sowie des von den Angreifern kontrollierten Telegram-Kanals, um kompromittierte Informationen zu löschen. Alle von Group-IB-Forschern identifizierten Opferorganisationen wurden benachrichtigt und erhielten Listen mit kompromittierten Konten. Die Erkenntnisse über die mutmaßliche Identität des Bedrohungsakteurs wurden internationalen Strafverfolgungsbehörden mitgeteilt.

Ständig laufende Angriffskette

Am 26. Juli 2022 erhielt das Group-IB-Team eine Anfrage von seinem Threat Intelligence-Kunden, in der um zusätzliche Informationen zu einem kürzlichen Phishing-Versuch gegen seine Mitarbeiter gebeten wurde. Die Untersuchung ergab, dass diese Phishing-Angriffe sowie die Vorfälle bei Twilio und Cloudflare Glieder einer Kette waren. Eine einfache, aber sehr effektive einzelne Phishing-Kampagne von beispiellosem Umfang und Reichweite, die mindestens seit März 2022 aktiv ist. Eine Untersuchung des Falls des kompromittierten Messenger Signal zeigte, dass die Angreifer nachdem sie ein Unternehmen kompromittiert hatten, sofort weitere Angriffe auf die Lieferkette starteten.

Glück oder perfekte Planung?

“Es mag sein, dass der Bedrohungsakteur bei seinen Angriffen viel Glück gehabt hat. Allerdings ist es viel wahrscheinlicher, dass er seine Phishing-Kampagne sehr sorgfältig geplant hat, um ausgeklügelte Angriffe auf die Lieferkette zu starten. Es ist noch nicht klar, ob die Angriffe komplett durchgeplant waren oder ob in jeder Phase diverse Maßnahmen ergriffen wurden. Unabhängig davon war die 0ktapus-Kampagne unglaublich erfolgreich und das volle Ausmaß ist möglicherweise noch einige Zeit nicht bekannt.” so Robert Martínez, Senior Threat Intelligence Analyst bei Group-IB, Europa.

Das Hauptziel der Bedrohungsakteure war es, Okta-Identitätsdaten und Zwei-Faktor-Authentifizierungscodes (2FA) von Benutzern der angegriffenen Organisationen zu erhalten. Diese Benutzer erhielten Textnachrichten mit Links zu Phishing-Sites, welche die Okta-Authentifizierungsseite ihrer Organisation nachahmten.

Woher stammen die Startdaten für den Angriff?

Noch ist unbekannt, wie Betrüger ihre Zielliste erstellten und wie sie an die Telefonnummern gelangten. Den von Group-IB analysierten kompromittierten Daten zufolge begannen die Bedrohungsakteure ihre Angriffe damit, dass sie Mobilfunkbetreiber und Telekommunikationsunternehmen angriffen. Dabei könnten sie die nötigen Daten für die weiteren Angriffe erbeutet haben.

Extrem viele Phishing-Domains

Forscher der Group-IB entdeckten 169 einzigartige Phishing-Domains, die an der 0ktapus-Kampagne beteiligt waren. Die Domains verwendeten Schlüsselwörter wie „SSO“, „VPN“, „OKTA“, „MFA“ und „HELP“. Aus Sicht der Opfers wirkten die Phishing-Seiten überzeugend, da sie den legitimen Authentifizierungsseiten extrem ähnlich waren.

Weitere Informationen und tiefere Ergebnisse der Untersuchung hält Group-IB auf seiner Webseite bereit.

Mehr bei Group-IB.com

 

Passende Artikel zum Thema

Drahtlose Sicherheit für OT- und IoT-Umgebungen

Drahtlose Geräte nehmen immer mehr zu. Dadurch erhöhen sich die Zugangspunkte über die Angreifer in Netzwerke eindringen können. Ein neuer ➡ Weiterlesen

Professionelle Cybersicherheit für KMU

Managed Detection und Response (MDR) für KMU 24/7 an 365 Tagen im Jahr.  Der IT-Sicherheitshersteller ESET hat sein Angebot um ➡ Weiterlesen

Bösartige Software am Starten hindern

Ein Cyberschutz-Anbieter hat seine Sicherheitsplattform um eine neue Funktion erweitert. Sie verbessert die Cybersicherheit indem sie den Start bösartiger oder ➡ Weiterlesen

Pikabot: tarnen und täuschen

Pikabot ist ein hochentwickelter und modularer Backdoor-Trojaner, der Anfang 2023 erstmals aufgetaucht ist. Seine bemerkenswerteste Eigenschaft liegt in der Fähigkeit ➡ Weiterlesen

Ransomware-resistente WORM-Archive zur Datensicherung 

Ein Datenarchiv ist ein Muss für jedes Unternehmen. Nur wenige wissen: Ein aktives WORM-Archiv kann helfen, die Datensicherung zu verschlanken, ➡ Weiterlesen

Gefahr der Manipulation von Wahlen durch Cyberangriffe

Cyberangreifer versuchen, weltweit Wahlen zu beeinflussen und machen sich dabei Generative KI-Technologie zunutze. Die neuesten Ergebnisse des Global Threat Report ➡ Weiterlesen

Bedrohungen erkennen und abwehren

In der heutigen, durch Digitalisierung geprägten Unternehmenslandschaft erfordert der Kampf gegen Bedrohungen einen kontinuierlichen, proaktiven und ganzheitlichen Ansatz. Open Extended ➡ Weiterlesen

Backup für Microsoft 365 – neue Erweiterung

Eine einfache und flexible Backup-as-a-Service-(BaaS)-Lösung erweitert Datensicherungs- und Ransomware Recovery-Funktionalitäten für Microsoft 365. Dadurch verkürzen sich die Ausfallszeiten bei einem ➡ Weiterlesen