在8月初接连攻击云通讯巨头Twilio和云服务商Cloudflare后,攻击者逐渐浮出水面。网络安全公司Group-IB指出,该组织在数月内疯狂入侵了130多家机构,盗取了近1万名员工的凭证。
Group-IB将该攻击组织追踪为0ktapus,该组织主要攻击使用Okta单点登录服务的企业。
Group-IB在一名客户受到网络钓鱼攻击后开展调查,结果显示,自3月以来,其至少窃取了9931个用户证书,其中超过一半包含用于访问公司网络的多因素认证码。
Group-IB高级威胁情报分析师Roberto Martinez向媒体表示,“在许多情况下,有一些特定的图像、字体或脚本,可以用来识别用使用同一套钓鱼工具设计的钓鱼网站。"在这种情况下,我们发现了一个被钓鱼的使用Okta认证的网站。”
“这些攻击案例很有意思,尽管它的技术含量低,但它还是能够危害大量知名组织,”Group-IB表示,“一旦攻击者入侵了一个组织,他们就能够迅速转向并发起后续的供应链攻击,这表明攻击是经过事先精心策划的。”
据信,0ktapus至少定制了 169 个域用于网络钓鱼,这些网站通过使用以前未记录的网络钓鱼工具包进行联合攻击。受害组织主要位于美国(114 个)、印度(4 个)、加拿大(3 个)、法国(2 个)、瑞典(2 个)和澳大利亚(1个) 等,分布在通讯、商业服务、金融、教育、零售、物流等行业。
虽然目前还不清楚攻击者是如何获得电话号码和员工姓名并发送短信钓鱼消息,Group-IB指出,攻击者首先以移动运营商和电信公司为目标,”可能从最初的攻击中收集到这些号码。”
该组织的最终目标仍不清楚,可能是间谍活动和经济动机,攻击者可以访问机密数据、知识产权、公司收件箱以及虹吸资金。最重要的是,入侵 Signal 帐户意味着,攻击者还试图获取私人对话和其他敏感数据。
