Group-IB は、Twilio と Cloudflare の従業員を標的とした最近発見された 0ktapus フィッシング キャンペーンが、9.931.000 を超える組織の 130 アカウントが侵害された大規模な攻撃チェーンの一部であることを発見しました。
このキャンペーンは、人気のある ID およびアクセス管理サービスを装ったため、Group-IB の研究者によって 0ktapus というコードネームが付けられました。 被害者の大多数は米国に居住しており、その多くは Okta の ID およびアクセス管理サービスを使用しています。
Group-IB 脅威インテリジェンス チームは、侵害された情報を削除するために、フィッシング ドメイン、フィッシング キット、および攻撃者が制御する Telegram チャネルを含む、攻撃者のフィッシング インフラストラクチャを発見および分析しました。 グループ IB の研究者によって特定されたすべての被害組織に通知が送られ、侵害されたアカウントのリストが提供されました。 攻撃者の身元の疑いに関する情報は、国際的な法執行機関と共有されています。
連続攻撃連鎖
26 年 2022 月 2022 日、グループ IB チームは、脅威インテリジェンス クライアントから、従業員に対する最近のフィッシング攻撃に関する追加情報を求めるリクエストを受け取りました。 調査の結果、これらのフィッシング攻撃は、Twilio および Cloudflare のインシデントと同様に、チェーン内のリンクであることがわかりました。 少なくとも XNUMX 年 XNUMX 月から活動している、前例のない規模とリーチを持つシンプルだが非常に効果的な単一のフィッシング キャンペーン。 侵入者事件の捜査 メッセンジャー信号 攻撃者が企業を侵害した後、すぐにサプライ チェーンにさらなる攻撃を開始したことを示しました。
運か完璧な計画か?
「攻撃者が攻撃で非常に幸運だった可能性があります。 しかし、巧妙なサプライ チェーン攻撃を開始するために、非常に慎重にフィッシング キャンペーンを計画した可能性が高いです。 攻撃が完全に計画されていたのか、それとも各段階でさまざまな対策が講じられていたのかはまだ明らかではありません。 いずれにせよ、0ktapus キャンペーンは信じられないほどの成功を収めており、その全容はまだしばらくわからないかもしれません。」 Group-IB ヨーロッパのシニア脅威インテリジェンス アナリスト、Robert Martínez は次のように述べています。
攻撃者の主な目的は、標的となった組織のユーザーから Okta の ID クレデンシャルと 2 要素認証 (XNUMXFA) コードを取得することでした。 これらのユーザーは、組織の Okta 認証ページになりすましたフィッシング サイトへのリンクを含むテキスト メッセージを受け取りました。
攻撃の開始日はどこから来たのですか?
詐欺師がどのようにターゲット リストを作成し、どのようにして電話番号を入手したかはまだわかっていません。 Group-IB が分析した侵害データによると、攻撃者は携帯電話会社と通信会社を標的にして攻撃を開始しました。 さらなる攻撃に必要なデータを取得できた可能性があります。
非常に多くのフィッシング ドメイン
グループ IB の研究者は、169ktapus キャンペーンに関与する 0 の固有のフィッシング ドメインを発見しました。 ドメインは、「SSO」、「VPN」、「OKTA」、「MFA」、「HELP」などのキーワードを使用していました。 被害者の観点からは、フィッシング ページは正当な認証ページに非常に似ているため、説得力があるように見えました。
Group-IB は、その Web サイトで調査の詳細情報と詳細な結果を提供しています。
詳しくは Group-IB.com をご覧ください