在8月初连续攻击云通讯巨头Twilio和云服务商Cloudflare后,攻击者逐渐浮出水面。网络安全公司Group-IB指出,该组织在几个月内侵入了130多个组织,窃取了近10,000名员工的凭证。Group-IB已将攻击组追踪为0ktapus,其目标是使用Okta单点登录服务的企业。Group-IB在客户遭受网络钓鱼攻击后的调查显示,自3月以来,它至少窃取了9,931个用户凭据,其中一半以上包含用于访问公司网络的多因素身份验证代码。Group-IB的高级威胁情报分析师RobertoMartinez告诉媒体,“在许多情况下,有特定的图像、字体或脚本可用于识别旨在使用同一组网络钓鱼工具的网络钓鱼站点。”在这种情况下,我们发现了一个针对Okta身份验证的钓鱼网站。“这些攻击示例很有趣,因为尽管技术含量低,但它们能够危害大量知名组织,”Group-IB说。“一旦攻击者破坏了一个组织,他们就能够迅速转向并发起后续的供应链攻击,这表明该攻击是事先精心策划的。据信0ktapus已经为网络钓鱼定制了至少169个域,使用以前未记录的网络钓鱼工具包来开展联合攻击,受害组织主要分布在美国(114个)、印度(4个)、加拿大(3个)、法国(2个)、瑞典(2个)和澳大利亚(1个)等地,分布在通讯、商业服务、金融、教育、零售、物流等行业。尽管尚不清楚攻击者如何获取电话号码和员工姓名并发送短信钓鱼消息,但Group-IB指出,攻击者首先针对移动运营商和电信公司,“可能会收集这些来自最初攻击的数字。”“该组织的最终目标仍不清楚,可能是出于间谍和经济动机,攻击者可以访问机密数据、知识产权y,公司收件箱,吸走资金。最重要的是,入侵Signal帐户意味着攻击者尚未尝试获取私人对话和其他敏感数据。
