L’acteur de la menace derrière les attaques contre Twilio et Cloudflare au début du mois a été lié à une campagne de phishing plus large visant 136 organisations qui a abouti à un compromis cumulé de 9 931 comptes.
L’activité a été condamnée 0ktapus par Group-IB parce que l’objectif initial des attaques était « d’obtenir les informations d’identification d’Okta et les codes d’authentification à deux facteurs (2FA) des utilisateurs des organisations ciblées ».
Qualifiant les attaques de bien conçues et exécutées, la société basée à Singapour a déclaré que l’adversaire avait ciblé les employés d’entreprises clientes du fournisseur de services d’identité Okta.
Le modus operandi impliquait l’envoi de messages texte cibles contenant des liens vers des sites de phishing qui usurpaient l’identité de la page d’authentification Okta des entités ciblées respectives.
« Ce cas est intéressant car malgré l’utilisation de méthodes peu qualifiées, il a pu compromettre un grand nombre d’organisations bien connues », Group-IB a dit. « De plus, une fois que les attaquants ont compromis une organisation, ils ont rapidement pu pivoter et lancer des attaques ultérieures sur la chaîne d’approvisionnement, indiquant que l’attaque avait été soigneusement planifiée à l’avance. »
Au moins 169 domaines de phishing uniques auraient été créés à cette fin, avec des organisations de victimes principalement situées aux États-Unis (114), en Inde (4), au Canada (3), en France (2), en Suède (2) et Australie (1), entre autres. Ces sites Web étaient unis par le fait qu’ils utilisaient un kit de phishing auparavant non documenté.
La majorité des organisations concernées sont des sociétés de logiciels, suivies de celles appartenant aux secteurs des télécommunications, des services aux entreprises, de la finance, de l’éducation, de la vente au détail et de la logistique.
Ce qui est remarquable à propos des attaques, c’est l’utilisation d’un canal Telegram contrôlé par un acteur pour supprimer les informations compromises, qui comprenaient les informations d’identification de l’utilisateur, les adresses e-mail et les codes d’authentification multifacteur (MFA).
Groupe-IB a dit il a pu lier l’un des administrateurs de la chaîne, qui s’appelle X, à un compte Twitter et GitHub qui suggère que l’individu pourrait être basé dans l’État américain de Caroline du Nord.
Les objectifs ultimes de la campagne restent flous, mais on soupçonne qu’il s’agit d’espionnage et de motivation financière, permettant à l’auteur de la menace d’accéder à des données confidentielles, à la propriété intellectuelle et aux boîtes de réception d’entreprise, ainsi qu’à siphonner des fonds.
En plus de cela, les tentatives de piratage des comptes Signal impliquent que les attaquants essaient également de mettre la main sur des conversations privées et d’autres données sensibles. On ne sait toujours pas comment les pirates ont obtenu les numéros de téléphone et les noms des employés.
« Bien que l’acteur de la menace ait eu de la chance dans ses attaques, il est beaucoup plus probable qu’il ait soigneusement planifié sa campagne de phishing pour lancer des attaques sophistiquées sur la chaîne d’approvisionnement », a déclaré Roberto Martinez, analyste chez Group-IB.
« Il n’est pas encore clair si les attaques ont été planifiées de bout en bout à l’avance ou si des actions opportunistes ont été prises à chaque étape. Quoi qu’il en soit, la campagne 0ktapus a été un succès incroyable, et son ampleur peut ne pas être connue pour certains. temps. »
