Более 130 организаций стали жертвами масштабной фишинговой кампании по краже идентификационных данных Okta.
Злоумышленник, взломавший Twilio в начале августа, провел масштабную фишинговую кампанию против 136 организаций, в результате которой был взломан 9931 аккаунт.
ИБ-компания Group-IB назвала эту кампанию «0ktapus», поскольку первоначальной целью атак было получение идентификационных данных Okta и кодов двухфакторной аутентификации (2FA) от пользователей целевых организаций.
Group-IB назвала атаки хорошо спланированными и заявила, что злоумышленник выделил сотрудников компаний, которые являются клиентами поставщика услуг идентификации Okta.
Кампания заключалась в отправке сообщений, содержащих ссылки на фишинговые сайты, которые выдавали себя за страницу аутентификации Okta соответствующих целевых объектов. Как только киберпреступник скомпрометировал организацию, он смог быстро распространиться в сети и запустить последующие атаки на цепочку поставок. Это указывает на то, что атака была тщательно спланирована заранее. Более того, на всех мошеннических сайтах содержался ранее недокументированный фишинговый набор.
Для этой кампании было создано не менее 169 уникальных фишинговых доменов, причем организации-жертвы в основном расположены в:
Большинство затронутых организаций — это
Хакер использовал Telegram-канал для удаления скомпрометированной информации, которая включала учетные данные пользователя, email-адреса и коды многофакторной аутентификации (МФА).
Group-IB раскрыла одного из администраторов Telegram-канала. Он известен под псевдонимом «X» и имеет учетные записи в Twitter и GitHub. Эксперты предположили, что киберпреступник может базироваться в США.
Конечные цели кампании остаются неясными, но есть подозрения, что она является шпионской и финансово мотивированной. Это значит, что злоумышленник хочет получить доступ к конфиденциальным данным, интеллектуальной собственности и корпоративным почтовым ящикам, а также красть денежные средства.
Наш канал — питательная среда для вашего интеллекта