Group-IB ha scoperto che la campagna di phishing 0ktapus recentemente scoperta contro i dipendenti di Twilio e Cloudflare faceva parte della massiccia catena di attacchi che ha provocato la compromissione di 9.931.000 account di oltre 130 organizzazioni.
La campagna è stata denominata in codice 0ktapus dai ricercatori di Group-IB perché si proponeva come un popolare servizio di gestione delle identità e degli accessi. La stragrande maggioranza delle vittime si trova negli Stati Uniti e molte di loro utilizzano i servizi di gestione delle identità e degli accessi di Okta.
Il team di Group-IB Threat Intelligence ha scoperto e analizzato l'infrastruttura di phishing degli aggressori, inclusi i domini di phishing, il kit di phishing e il canale Telegram controllato dagli aggressori per eliminare le informazioni compromesse. Tutte le organizzazioni vittime identificate dai ricercatori del Gruppo IB sono state informate e hanno ricevuto elenchi di account compromessi. L'intelligence sulla sospetta identità dell'autore della minaccia è stata condivisa con le forze dell'ordine internazionali.
Catena di attacchi continui
Il 26 luglio 2022, il team di Group IB ha ricevuto una richiesta dal proprio client Threat Intelligence che chiedeva ulteriori informazioni su un recente tentativo di phishing contro i propri dipendenti. L'indagine ha scoperto che questi attacchi di phishing, insieme agli incidenti Twilio e Cloudflare, erano anelli di una catena. Un'unica campagna di phishing semplice ma altamente efficace di portata e portata senza precedenti, attiva almeno da marzo 2022. Un'inchiesta sul caso dei compromessi segnale del messaggero ha mostrato che dopo che gli aggressori hanno compromesso un'azienda, hanno immediatamente lanciato ulteriori attacchi alla catena di fornitura.
Fortuna o pianificazione perfetta?
“Può darsi che l'attore della minaccia sia stato molto fortunato nei suoi attacchi. Tuttavia, è molto più probabile che abbia pianificato la sua campagna di phishing con molta attenzione per lanciare sofisticati attacchi alla catena di approvvigionamento. Non è ancora chiaro se gli attacchi siano stati completamente pianificati o se siano state prese varie misure in ogni fase. Indipendentemente da ciò, la campagna 0ktapus ha avuto un incredibile successo e l'intera portata potrebbe non essere nota per un po' di tempo". ha affermato Robert Martínez, Senior Threat Intelligence Analyst presso Group-IB, Europa.
L'obiettivo principale degli attori delle minacce era ottenere le credenziali di identità Okta e i codici di autenticazione a due fattori (2FA) dagli utenti delle organizzazioni prese di mira. Questi utenti hanno ricevuto messaggi di testo con collegamenti a siti di phishing che hanno impersonato la pagina di autenticazione Okta della loro organizzazione.
Da dove vengono le date di lancio dell'attacco?
Non è ancora noto come i truffatori abbiano creato il loro elenco di obiettivi e come abbiano ottenuto i numeri di telefono. Secondo i dati compromessi analizzati da Group-IB, gli attori delle minacce hanno iniziato i loro attacchi prendendo di mira operatori di telefonia mobile e società di telecomunicazioni. Avrebbero potuto acquisire i dati necessari per ulteriori attacchi.
Moltissimi domini di phishing
I ricercatori di Group-IB hanno scoperto 169 domini di phishing unici coinvolti nella campagna 0ktapus. I domini utilizzavano parole chiave come "SSO", "VPN", "OKTA", "MFA" e "HELP". Dal punto di vista della vittima, le pagine di phishing sembravano convincenti in quanto estremamente simili alle pagine di autenticazione legittime.
Group-IB fornisce ulteriori informazioni e risultati più dettagliati dell'indagine sul suo sito web.
Altro su Group-IB.com