Group-IB ने पता लगाया है कि हाल ही में खुला 0ktapus फ़िशिंग अभियान Twilio और Cloudflare कर्मचारियों को लक्षित कर रहा था, जो बड़े पैमाने पर हमले की श्रृंखला का हिस्सा था, जिसके परिणामस्वरूप 9.931.000 से अधिक संगठनों के 130 खातों से समझौता किया गया था।
इस अभियान को Group-IB के शोधकर्ताओं द्वारा 0ktapus कोडनेम दिया गया था क्योंकि यह एक लोकप्रिय पहचान और एक्सेस प्रबंधन सेवा के रूप में सामने आया था। अधिकांश पीड़ित संयुक्त राज्य में स्थित हैं, और उनमें से कई ओक्टा की पहचान और एक्सेस प्रबंधन सेवाओं का उपयोग करते हैं।
Group-IB थ्रेट इंटेलिजेंस टीम ने हैकर्स के फ़िशिंग इंफ्रास्ट्रक्चर की खोज की और उसका विश्लेषण किया, जिसमें फ़िशिंग डोमेन, फ़िशिंग किट और हैकर्स द्वारा नियंत्रित टेलीग्राम चैनल शामिल हैं, ताकि हैक की गई जानकारी को मिटाया जा सके। समूह IB के शोधकर्ताओं द्वारा पहचाने गए सभी पीड़ित संगठनों को सूचित किया गया और हैक किए गए खातों की सूची दी गई। धमकी देने वाले अभिनेता की संदिग्ध पहचान पर खुफिया जानकारी अंतरराष्ट्रीय कानून प्रवर्तन एजेंसियों के साथ साझा की गई है।
लगातार हमले का सिलसिला
26 जुलाई, 2022 को, ग्रुप आईबी टीम को उनके थ्रेट इंटेलिजेंस क्लाइंट से एक अनुरोध प्राप्त हुआ जिसमें उनके कर्मचारियों के खिलाफ हाल ही में फ़िशिंग के प्रयास पर अतिरिक्त जानकारी मांगी गई थी। जांच में पाया गया कि ट्विलियो और क्लाउडफ्लेयर घटनाओं के साथ-साथ ये फ़िशिंग हमले एक श्रृंखला में लिंक थे। कम से कम मार्च 2022 से सक्रिय अभूतपूर्व पैमाने और पहुंच का एक सरल लेकिन अत्यधिक प्रभावी एकल फ़िशिंग अभियान। समझौता किए जाने के मामले की जांच संदेशवाहक संकेत दिखाया कि हमलावरों द्वारा एक कंपनी से समझौता करने के बाद, उन्होंने तुरंत आपूर्ति श्रृंखला पर और हमले शुरू कर दिए।
भाग्य या सही योजना?
"यह हो सकता है कि धमकी देने वाला अभिनेता अपने हमलों में बहुत भाग्यशाली रहा हो। हालांकि, यह बहुत अधिक संभावना है कि परिष्कृत आपूर्ति श्रृंखला हमलों को शुरू करने के लिए उन्होंने अपने फ़िशिंग अभियान की बहुत सावधानी से योजना बनाई। यह अभी तक स्पष्ट नहीं है कि क्या हमले पूरी तरह से सुनियोजित थे या प्रत्येक चरण में विभिन्न उपाय किए गए थे। भले ही, 0ktapus अभियान अविश्वसनीय रूप से सफल रहा हो और कुछ समय के लिए पूर्ण सीमा ज्ञात न हो।" ग्रुप-आईबी, यूरोप में सीनियर थ्रेट इंटेलिजेंस एनालिस्ट रॉबर्ट मार्टिनेज ने कहा।
थ्रेट एक्टर्स का मुख्य लक्ष्य लक्षित संगठनों के उपयोगकर्ताओं से ओक्टा आइडेंटिटी क्रेडेंशियल्स और टू-फैक्टर ऑथेंटिकेशन (2FA) कोड प्राप्त करना था। इन उपयोगकर्ताओं को फ़िशिंग साइटों के लिंक वाले पाठ संदेश प्राप्त हुए, जो उनके संगठन के ओक्टा प्रमाणीकरण पृष्ठ का प्रतिरूपण करते थे।
हमले के लिए लॉन्च की तारीखें कहां से आईं?
यह अभी भी अज्ञात है कि स्कैमर्स ने अपनी लक्षित सूची कैसे बनाई और उन्हें फोन नंबर कैसे मिले। ग्रुप-आईबी द्वारा विश्लेषण किए गए समझौता किए गए डेटा के अनुसार, खतरे के अभिनेताओं ने मोबाइल ऑपरेटरों और दूरसंचार कंपनियों को निशाना बनाकर अपने हमले शुरू किए। वे आगे के हमलों के लिए आवश्यक डेटा पर कब्जा कर सकते थे।
अत्यधिक फ़िशिंग डोमेन
ग्रुप-आईबी के शोधकर्ताओं ने 169ktapus अभियान में शामिल 0 अद्वितीय फ़िशिंग डोमेन की खोज की। डोमेन ने "एसएसओ", "वीपीएन", "ओकेटीए", "एमएफए" और "हेल्प" जैसे कीवर्ड का इस्तेमाल किया। पीड़ित के दृष्टिकोण से, फ़िशिंग पृष्ठ विश्वसनीय लग रहे थे क्योंकि वे वैध प्रमाणीकरण पृष्ठों के समान थे।
ग्रुप-आईबी अपनी वेबसाइट पर आगे की जानकारी और जांच के अधिक विस्तृत परिणाम प्रदान करता है।
Group-IB.com पर अधिक