Group-IB виявила, що нещодавно розкрита фішингова кампанія 0ktapus, націлена на співробітників Twilio та Cloudflare, була частиною ланцюжка масованих атак, у результаті якої було зламано 9.931.000 130 XNUMX облікових записів із понад XNUMX організацій.
Дослідники з Group-IB назвали цю кампанію кодовою назвою 0ktapus, оскільки вона представлялася як популярна служба керування ідентифікацією та доступом. Переважна більшість жертв перебувають у Сполучених Штатах, і багато з них користуються службами ідентифікації та керування доступом Okta.
Команда Group-IB Threat Intelligence виявила та проаналізувала фішингову інфраструктуру зловмисників, включаючи фішингові домени, комплект для фішингу та контрольований зловмисниками канал Telegram, щоб видалити скомпрометовану інформацію. Усі організації-жертви, виявлені дослідниками Group IB, були повідомлені та надані списки скомпрометованих облікових записів. Розвідувальні дані про підозрювану особу загрозливого актора були передані міжнародним правоохоронним органам.
Безперервний ланцюг атак
26 липня 2022 року команда Group IB отримала запит від свого клієнта Threat Intelligence з проханням надати додаткову інформацію про нещодавню спробу фішингу проти їхніх співробітників. Розслідування виявило, що ці фішингові атаки разом з інцидентами Twilio та Cloudflare були ланками ланцюга. Проста, але дуже ефективна одноразова фішингова кампанія безпрецедентного масштабу та охоплення, активна принаймні з березня 2022 року. Слідство у справі скомпрометованих сигнал месенджера показали, що після того, як зловмисники скомпрометували компанію, вони негайно розпочали подальші атаки на ланцюг постачання.
Удача чи ідеальне планування?
«Можливо, загрозливому актору дуже пощастило в їхніх атаках. Однак набагато ймовірніше, що він дуже ретельно спланував свою фішингову кампанію, щоб розпочати складні атаки на ланцюг поставок. Поки неясно, чи були атаки повністю спланованими, чи на кожному етапі вживалися різні заходи. Незважаючи на це, кампанія 0ktapus була неймовірно успішною, і повний обсяг може бути невідомий протягом деякого часу». сказав Роберт Мартінес, старший аналітик аналізу загроз Group-IB, Європа.
Головною метою зловмисників було отримати ідентифікаційні дані Okta та коди двофакторної автентифікації (2FA) від користувачів цільових організацій. Ці користувачі отримували текстові повідомлення з посиланнями на фішингові сайти, які видавали себе за сторінку автентифікації Okta їхньої організації.
Звідки взяти дати початку атаки?
Досі невідомо, як шахраї створили цільовий список і як вони отримали номери телефонів. Відповідно до скомпрометованих даних, проаналізованих Group-IB, зловмисники почали свої атаки, націлюючись на мобільних операторів і телекомунікаційні компанії. Вони могли отримати необхідні дані для подальших атак.
Надзвичайно багато фішингових доменів
Дослідники Group-IB виявили 169 унікальних фішингових доменів, залучених до кампанії 0ktapus. Домени використовували такі ключові слова, як «SSO», «VPN», «OKTA», «MFA» і «HELP». З точки зору жертви, фішингові сторінки виглядали переконливо, оскільки вони були надзвичайно схожі на законні сторінки автентифікації.
Group-IB надає додаткову інформацію та більш детальні результати розслідування на своєму веб-сайті.
Більше на Group-IB.com