0ktapus Phishing Kit

Cyberkriminellen ist es gelungen, im Rahmen einer Reihe von Cyberangriffen in über 130 Organisationen einzudringen. Die kriminellen Operationen beginnen mit einer weit verbreiteten und gut ausgearbeiteten Phishing-Kampagne, bei der ein Phishing-Kit namens „0ktapus“ verwendet wird. Laut einem Bericht von Sicherheitsforschern konnten die Angreifer in nur wenigen Monaten fast 10.000 Anmeldeinformationen sammeln. Es wird angenommen, dass die Operation mindestens seit März 2022 aktiv ist. Das Ziel der 0ktapus-Kampagne scheint der Diebstahl von Okta-Identitätsnachweisen und 2FA-Codes (Zwei-Faktor-Autorisierung) gewesen zu sein. Mit den erhaltenen vertraulichen Daten zielten die Cyberkriminellen darauf ab, Folgeoperationen wie Angriffe auf die Lieferkette durchzuführen.

Dem Bericht zufolge wurde das 0ktapus-Phishing-Kit gegen Unternehmen aus verschiedenen Branchen eingesetzt, darunter Finanzen, Krypto, Technologie, Personalbeschaffung, Telekommunikation und viele mehr. Einige der Zielunternehmen sind AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy und andere.

Die Angriffe beginnen mit Lock-SMS-Nachrichten, die einen Link zu einer Phishing-Seite enthalten. Die Website ähnelt stark der legitimen Okta-Anmeldeseite und fordert Benutzer auf, ihre Kontoanmeldeinformationen und 2FA-Codes anzugeben. Okta ist eine IDaaS-Plattform (Identity-as-a-Service), was im Wesentlichen bedeutet, dass Mitarbeiter ein einziges Anmeldekonto und Anmeldeinformationen verwenden können, um auf alle Software-Assets zuzugreifen, die sie in ihrem Unternehmen benötigen. Die eingegebenen Zugangsdaten und 2FA-Codes wurden von der gefälschten Seite abgekratzt und an ein von den Hackern kontrolliertes Telegram-Konto übertragen.

Natürlich würde die Kompromittierung der Okta-Anmeldeinformationen der betroffenen Mitarbeiter es den Angreifern ermöglichen, eine Vielzahl schändlicher Aktionen innerhalb der angegriffenen Organisationen durchzuführen. Und das taten sie, indem die Angreifer Zugriff auf Unternehmens-VPNs, Netzwerke, interne Kundensupportsysteme usw. erhielten. Die gesammelten Kundendaten wurden von den Cyberkriminellen ausgenutzt, um Angriffe auf die Lieferkette durchzuführen, die auf die Kunden von Signal und DigitalOcean abzielten.

Die 0ktapus-Phishing-Kampagne hat auch zu Datenschutzverletzungen bei großen Organisationen wie Twilio, Klaviyo, MailChimp und einem versuchten Angriff auf Cloudflare geführt. Bisher haben Forscher 169 einzigartige Phishing-Domains identifiziert, die die Bedrohungsakteure im Rahmen der 0ktapus-Operation erstellt haben. Die fabrizierten Seiten wurden so gestaltet, dass sie dem entsprechenden Thema des jeweiligen Zielunternehmens ähneln, und scheinen auf den ersten Blick die legitimen Portale zu sein, die von den Opfern täglich verwendet werden. Im Rahmen des Angriffs ist es den Angreifern gelungen, 9.931 Anmeldeinformationen von Mitarbeitern von 136 Unternehmen, 3.129 Datensätze mit E-Mails und insgesamt 5.441 Datensätze mit MFA-Codes zu sammeln.