0ktapus Phishing Kit

サイバー犯罪者は、一連のサイバー攻撃の一環として、130 以上の組織に侵入することに成功しました。犯罪活動は、「0ktapus」という名前のフィッシング キットを利用した、広範かつ巧妙に作成されたフィッシング キャンペーンから始まります。セキュリティ研究者のレポートによると、攻撃者はわずか 2 か月で 10,000 近くのログイン資格情報を収集することができました。この活動は、少なくとも 2022 年 3 月から行われていたと考えられています。0ktapus キャンペーンの目的は、Okta の ID 資格情報と 2FA (2 要素認証) コードの盗難であったようです。サイバー犯罪者は、入手した機密データを使用して、サプライ チェーン攻撃などの後続の操作を実行しようとしました。

レポートによると、0ktapus フィッシング キットは、金融、仮想通貨、テクノロジー、採用、電気通信など、複数の業界セクターの企業に対して悪用されました。標的となった企業には、AT&T、T-Mobile、Verizon Wireless、Slack、Binance、CoinBase、Twitter、Microsoft、Riot Games、Epic Games、HubSpot、Best Buy などがあります。

攻撃は、フィッシング ページへのリンクを含むおびき寄せる SMS メッセージから始まります。この Web サイトは、正規の Okta ログイン ページによく似ており、ユーザーにアカウント資格情報と 2FA コードを提供するように求めます。 Okta は IDaaS (Identity-as-a-Service) プラットフォームであり、基本的に、従業員は単一のログイン アカウントと資格情報を使用して、社内で必要なすべてのソフトウェア資産にアクセスできることを意味します。入力された資格情報と 2FA コードは、偽のサイトによってスクレイピングされ、ハッカーが制御する Telegram アカウントに送信されました。

当然のことながら、標的となった従業員の Okta 資格情報が侵害されると、攻撃者は侵害された組織内でさまざまな悪質なアクションを実行できるようになります。サイバー犯罪者は、収集された顧客データを悪用して、Signal と DigitalOcean のクライアントを標的としたサプライ チェーン攻撃を実行しました。

0ktapus フィッシング キャンペーンは、Twilio、Klaviyo、MailChimp などの主要な組織でのデータ侵害や、Cloudflare に対する攻撃の試みにもつながっています。これまでのところ、研究者は、攻撃者が 0ktapus 作戦の一環として作成した 169 の固有のフィッシング ドメインを特定しています。偽造されたページは、標的となった各企業の適切なテーマに似せて設計されており、一見すると、被害者が毎日使用する正規のポータルのように見えます。攻撃の一環として、攻撃者は 136 社の従業員から 9,931 の資格情報、電子メールを含む 3,129 の記録、および MFA コードを含む合計 5,441 の記録を収集することに成功しました。