L’attore delle minacce dietro gli attacchi a Twilio e Cloudflare all’inizio del mese è stato collegato a una più ampia campagna di phishing rivolta a 136 organizzazioni che ha portato alla compromissione cumulativa di 9.931 account. L’attività è stata condannata da Group-IB perché l’obiettivo iniziale degli attacchi era quello di “ottenere le credenziali di identità Okta e i codici di autenticazione a due fattori (2FA) dagli utenti delle organizzazioni prese di mira”.
Definendo gli attacchi ben progettati ed eseguiti, la società con sede a Singapore ha dichiarato che l’avversario ha individuato i dipendenti di aziende clienti del fornitore di servizi di identità Okta. Il modus operandi prevedeva l’invio agli obiettivi di messaggi di testo contenenti link a siti di phishing che impersonavano la pagina di autenticazione Okta delle rispettive entità prese di mira.
“Questo caso è interessante perché, nonostante l’utilizzo di metodi poco qualificati, è stato in grado di compromettere un gran numero di organizzazioni note“, ha dichiarato Group-IB. “Inoltre, una volta che gli aggressori hanno compromesso un’organizzazione, sono stati rapidamente in grado di fare perno e lanciare successivi attacchi alla catena di approvvigionamento, indicando che l’attacco è stato pianificato accuratamente in anticipo“.
Almeno 169 domini di phishing unici sarebbero stati creati a questo scopo, con organizzazioni vittime situate principalmente negli Stati Uniti (114), in India (4), Canada (3), Francia (2), Svezia (2) e Australia (1), tra gli altri. Questi siti web sono accomunati dall’utilizzo di un kit di phishing precedentemente non documentato.
La maggior parte delle organizzazioni colpite sono aziende di software, seguite da quelle appartenenti ai settori delle telecomunicazioni, dei servizi alle imprese, della finanza, dell’istruzione, della vendita al dettaglio e della logistica. L’aspetto notevole degli attacchi è l’uso di un canale Telegram controllato da un attore per rilasciare le informazioni compromesse, che comprendevano credenziali utente, indirizzi e-mail e codici di autenticazione a più fattori (MFA). Group-IB ha dichiarato di essere riuscita a collegare uno degli amministratori del canale, che si fa chiamare X, a un account Twitter e a un account GitHub che suggeriscono che l’individuo potrebbe avere sede nello stato americano del North Carolina.
Gli obiettivi finali della campagna non sono ancora chiari, ma si sospetta che si tratti di spionaggio e di motivazioni finanziarie, che consentono all’attore della minaccia di accedere a dati riservati, proprietà intellettuale e caselle di posta aziendali, nonché di sottrarre fondi.
Inoltre, i tentativi di hackerare gli account Signal implicano che gli aggressori stiano anche cercando di entrare in possesso di conversazioni private e altri dati sensibili. Non si sa ancora come gli hacker abbiano ottenuto i numeri di telefono e i nomi dei dipendenti. “Sebbene gli attori della minaccia possano essere stati fortunati nei loro attacchi, è molto più probabile che abbiano pianificato attentamente la loro campagna di phishing per lanciare sofisticati attacchi alla catena di approvvigionamento”, ha dichiarato Roberto Martinez, analista di Group-IB. Non è ancora chiaro se gli attacchi siano stati pianificati end-to-end in anticipo o se siano state intraprese azioni opportunistiche in ogni fase.
” In ogni caso, la campagna 0ktapus ha avuto un successo incredibile e la sua portata potrebbe non essere nota per qualche tempo”.
