0ktapus Phishing Kit

Les cybercriminels ont réussi à percer plus de 130 organisations dans le cadre d'une série de cyberattaques. Les opérations criminelles commencent par une campagne de phishing généralisée et bien conçue utilisant un kit de phishing nommé "0ktapus". Selon un rapport de chercheurs en sécurité, les acteurs de la menace ont pu collecter près de 10 000 identifiants de connexion en seulement quelques mois. L'opération serait active depuis au moins mars 2022. L'objectif de la campagne 0ktapus semble avoir été le vol des identifiants Okta et des codes 2FA (autorisation à deux facteurs). Avec les données confidentielles obtenues, les cybercriminels ont cherché à effectuer des opérations ultérieures, telles que des attaques de la chaîne d'approvisionnement.

Selon le rapport, le kit de phishing 0ktapus a été exploité contre des entreprises de plusieurs secteurs industriels, notamment la finance, la cryptographie, la technologie, le recrutement, les télécommunications et bien d'autres. Certaines des entreprises ciblées sont AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy et autres.

Les attaques commencent par leurrer des messages SMS contenant un lien vers une page de phishing. Le site Web ressemble beaucoup à la page de connexion légitime d'Okta et invite les utilisateurs à fournir leurs informations d'identification de compte et leurs codes 2FA. Okta est une plate-forme IDaaS (Identity-as-a-Service), ce qui signifie essentiellement que les employés peuvent utiliser un seul compte de connexion et des informations d'identification pour accéder à tous les actifs logiciels dont ils ont besoin au sein de leur entreprise. Les informations d'identification saisies et les codes 2FA ont été récupérés par le faux site et transmis à un compte Telegram contrôlé par les pirates.

Naturellement, compromettre les informations d'identification Okta des employés ciblés permettrait aux attaquants d'effectuer une vaste gamme d'actions néfastes au sein des organisations piratées. Et ils l'ont fait, les acteurs de la menace ayant accès aux VPN d'entreprise, aux réseaux, aux systèmes internes de support client, etc. Les données client collectées ont été exploitées par les cybercriminels pour mener des attaques de la chaîne d'approvisionnement ciblant les clients de Signal et DigitalOcean.

La campagne de phishing 0ktapus a également entraîné des violations de données dans de grandes organisations, telles que Twilio, Klaviyo, MailChimp et une tentative d'attaque contre Cloudflare. Jusqu'à présent, les chercheurs ont identifié 169 domaines de phishing uniques créés par les acteurs de la menace dans le cadre de l'opération 0ktapus. Les pages fabriquées ont été conçues pour ressembler à la thématique appropriée de chaque entreprise ciblée et, à première vue, semblent être les portails légitimes utilisés quotidiennement par les victimes. Dans le cadre de l'attaque, les acteurs de la menace ont réussi à collecter 9 931 informations d'identification des employés de 136 entreprises, 3 129 enregistrements avec des e-mails et un total de 5 441 enregistrements contenant des codes MFA.