Хакеры, ответственные за ряд недавних кибератак, в том числе на Twilio, MailChimp, Cloudflare и Klaviyo, в рамках одной фишинговой кампании скомпрометировали более 130 организаций.
В этой фишинговой кампании использовался фишинговый набор под кодовым названием «0ktapus» для кражи 9 931 учетных данных для входа, которые хакеры затем использовали для получения доступа к корпоративным сетям и системам через VPN и другие устройства удаленного доступа.
Согласно отчету Group-IB, кампания 0ktapus ведется по крайней мере с марта 2022 года с целью украсть учетные данные Okta и коды 2FA и использовать их для проведения последующих атак на цепочку поставок.
Эти атаки были очень успешными и привели к ряду сообщений об утечке данных в Twilio, MailChimp, Cloudflare и Klaviyo. Кроме того, эти нарушения также привели к атакам на клиентов, использующих эти сервисы, такие как Signal и DigitalOcean.
Основываясь на фишинговых доменах, созданных в ходе этой кампании, злоумышленники нацелились на компании из разных отраслей, включая криптовалюту, технологии, финансы и рекрутинг.
Некоторые из целевых компаний включают T-Mobile, MetroPCS, Verizon Wireless, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games, Evernote, AT&T, HubSpot, TTEC и Best Buy.
Атака начинается с SMS-сообщения и ссылки на фишинговую страницу, выдающую себя за страницу входа в Okta, где жертвам предлагается ввести учетные данные своей учетной записи и коды 2FA.
Okta — это платформа «идентификация как услуга» (IDaaS), позволяющая сотрудникам использовать единый логин для доступа ко всем программным активам в своей компании.
