Group-IB a découvert que la campagne de phishing 0ktapus récemment découverte ciblant les employés de Twilio et Cloudflare faisait partie de la chaîne d'attaque massive qui a compromis 9.931.000 130 XNUMX comptes de plus de XNUMX organisations.
La campagne a été baptisée 0ktapus par les chercheurs de Group-IB car elle se présentait comme un service populaire de gestion des identités et des accès. La grande majorité des victimes se trouvent aux États-Unis, et nombre d'entre elles utilisent les services de gestion des identités et des accès d'Okta.
L'équipe Group-IB Threat Intelligence a découvert et analysé l'infrastructure de phishing des attaquants, y compris les domaines de phishing, le kit de phishing et le canal Telegram contrôlé par les attaquants pour supprimer les informations compromises. Toutes les organisations de victimes identifiées par les chercheurs du groupe IB ont été informées et ont reçu des listes de comptes compromis. Les renseignements sur l'identité présumée de l'auteur de la menace ont été partagés avec les organismes internationaux chargés de l'application de la loi.
Chaîne d'attaque continue
Le 26 juillet 2022, l'équipe du groupe IB a reçu une demande de son client Threat Intelligence demandant des informations supplémentaires sur une récente tentative de phishing contre ses employés. L'enquête a révélé que ces attaques de phishing, ainsi que les incidents Twilio et Cloudflare, étaient des maillons d'une chaîne. Une campagne de phishing unique simple mais très efficace d'une ampleur et d'une portée sans précédent, active depuis au moins mars 2022. Une enquête sur l'affaire du compromis signal de messager ont montré qu'après que les attaquants aient compromis une entreprise, ils ont immédiatement lancé de nouvelles attaques sur la chaîne d'approvisionnement.
Chance ou planification parfaite ?
"Il se peut que l'acteur menaçant ait eu beaucoup de chance dans ses attaques. Cependant, il est beaucoup plus probable qu'il ait planifié très soigneusement sa campagne de phishing pour lancer des attaques sophistiquées sur la chaîne d'approvisionnement. Il n'est pas encore clair si les attaques étaient entièrement planifiées ou si diverses mesures ont été prises à chaque étape. Quoi qu'il en soit, la campagne 0ktapus a été un succès incroyable et l'étendue complète pourrait ne pas être connue avant un certain temps." », a déclaré Robert Martínez, analyste principal du renseignement sur les menaces chez Group-IB, Europe.
L'objectif principal des acteurs de la menace était d'obtenir les informations d'identification d'Okta et les codes d'authentification à deux facteurs (2FA) des utilisateurs des organisations ciblées. Ces utilisateurs ont reçu des SMS contenant des liens vers des sites de phishing qui se sont fait passer pour la page d'authentification Okta de leur organisation.
D'où viennent les dates de lancement de l'attaque ?
On ne sait toujours pas comment les escrocs ont créé leur liste cible et comment ils ont obtenu les numéros de téléphone. Selon les données compromises analysées par Group-IB, les acteurs de la menace ont commencé leurs attaques en ciblant les opérateurs mobiles et les entreprises de télécommunications. Ils auraient pu capturer les données nécessaires pour de nouvelles attaques.
Extrêmement nombreux domaines de phishing
Les chercheurs de Group-IB ont découvert 169 domaines de phishing uniques impliqués dans la campagne 0ktapus. Les domaines utilisaient des mots-clés comme "SSO", "VPN", "OKTA", "MFA" et "HELP". Du point de vue de la victime, les pages de phishing semblaient convaincantes car elles étaient extrêmement similaires aux pages d'authentification légitimes.
Group-IB fournit de plus amples informations et des résultats plus détaillés de l'enquête sur son site Internet.
Plus sur Group-IB.com