0ktapus – tajemnicza kampania phishingowa, która przejęła prawie 10 tysięcy kont w ponad 130 organizacjach…

O ataku na Twilio oraz użytkowników Signal pisaliśmy ostatnio tutaj. Sprawa ma swój dalszy ciąg, jak się okazuje – wątek jest bardzo bogaty i rozwojowy. Z przedstawionego raportu badaczy z Group-IB wynika, że za szereg niedawnych ataków, w tym te na Twilio, MailChimp i Klaviyo może stać jedna grupa hakerska wykorzystująca działania w ramach tej samej, skoordynowanej kampanii phishingowej. 

Zgodnie z raportem, naruszone zostało bezpieczeństwo ponad 130 organizacji. Próbowano także z CloudFlare, jednak tam atak został udaremniony (przez fakt, że każdy z pracowników ma obowiązek posiadania klucza sprzętowego). Kampania nazwana roboczo przez grupę Group-IB “0ktapus” pozwoliła jednak na kradzież przeszło 9931 danych logowania, 3129 rekordów e-mail oraz 5441 rekordów z kodami MFA (Multi-Factor Authentication) które następnie zostały wykorzystane jako punkt wejścia do sieci i systemów korporacyjnych (np. za pośrednictwem VPN i innych urządzeń dostępu zdalnego) w celu dalszych eksfiltracji danych. 

Według raportu Group-IB, kampania trwa co najmniej od marca 2022 roku mając na celu kradzież danych uwierzytelniających Okta i kodów 2FA, które następnie zostają wykorzystane w formule supply-chain attack. Okta to popularna platforma IAM (Identity Access Management) w formule IDaaS (Identity-as-a-Service) oferująca usługę SSO (Single-Sign-On), czyli mechanizmu pojedynczego logowania do systemów dla pracowników. 

Rys. 1. Łańcuch kradzieży danych w kampanii 0ktapus

Badacze z Group-IB odkryli 169 unikalnych domen phishingowych wspierających kampanię 0ktapus. W oparciu o zestawienie domen utworzonych w ramach kampanii, przestępcy zaatakowali firmy z wielu branż, w tym technologicznej, finansowej, HR i krypto. Stąd do niektórych z atakowanych firm zalicza się: T-Mobile, Verizon, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games. Część z domen została przedstawiona poniżej:

t-mobile-okta[.]org

att-citrix[.]com

mailchimp-help[.]com

vzwcorp[.]co

slack-mailchimp[.]com

kucoin-sso[.]com

Opis ataku

Atak rozpoczyna się poprzez nadesłanie wiadomości SMS z linkiem do strony phishingowej wyglądającej jak panel logowania Okta dedykowany dla wybranej platformy (np. Binance), gdzie ofiary są proszone o wpisanie swoich danych uwierzytelniających oraz kodów 2FA.

Rys. 2. SMS phishingowy z linkiem do fałszywej domeny.

Po wprowadzeniu danych uwierzytelniających, zostają one przesyłane z phishingowej strony na prywatny kanał komunikatora Telegram. Stamtąd, hakerzy wykorzystywali dane logowania do otwarcia dostępu w wewnątrz organizacji gdzie celem była dalsza kradzież. Te dane klientów zostały następnie wykorzystane do przeprowadzenia dalszych ataków w supply-chain, jak widzieliśmy na przykładzie Signal. Po przekazaniu danych logowania, użytkownik poprzez przeglądarkę jest zmuszony do pobrania legalnej kopii narzędzia AnyDesk służącego do zdalnej administracji komputerem. Nadal nie jest znany prawdziwy cel wypchnięcia AnyDesk.exe do zasobu ofiary, zwłaszcza gdy łącze phishingowe zostało wysłane SMS-em na smartfon. Czytając raport, wydaje się, że atakujący nie przemyślał prawidłowo całej kampanii w celu atakowania urządzeń mobilnych i może to wskazywać, że atakujący jest niedoświadczony.

Frontend stron phishingowych wykorzystuje framework Nuxt.js, podczas gdy backend korzysta z Django działającego na porcie 8080. Sama strona phishingowa jest statyczna, co oznacza, że atakujący nie mogli wchodzić w interakcję z ofiarami w czasie rzeczywistym, tak jak robią to bardziej wyrafinowane phishingowe kity. 

Rys. 3. Interfejs administratora Django działający na porcie 8080, który został użyty w ataku phishingowym emulującym strony uwierzytelniania Okta.

Aby jednak uzyskać dostęp przed wygaśnięciem kodów 2FA, osoby atakujące muszą wykorzystać skradzione dane, gdy tylko je otrzymają. Najprawdopodobniej oznacza to, że osoby atakujące stale monitorowały swoje narzędzia i wykorzystywały dane uwierzytelniające zaraz po ich otrzymaniu.

Rys. 4. Mapa ofiar kampanii 0ktapus

W procesie śledztwa, zauważono, że cyberzbóje musieli udostępnić między sobą zestaw phishingowy za pomocą platformy pomf.cat, a dodatkowo jeden z nich zeskanował linka za pomocą VirusTotal, aby upewnić się, że nie ma w nim złośliwego oprogramowania – tym samym zostawiając ślad. W odnalezionym zestawie, potwierdzono, że dane zostały przesyłane do bota na prywatnym kanale Telegram. Na końcu pliku zawierającego ustawienia Django ukryto kilka linijek poświęconych konfiguracji bota i kanałowi używanemu przez zestaw do zrzucania eksfiltrowanych danych.

Rys. 5. Funkcja wysyłania skradzionych danych do Telegrama 

Tajemniczy “X”

Śledczy z Group-IB wykorzystali informacje zaszyte w phishing kicie odnośnie Telegrama, aby znaleźć konto administratora kanału wykorzystywanego do eksfiltracji danych konta. Śledząc aktywność użytkownika, zauważono, że użytkownik o nazwie “X” opublikował w 2019 r. treść wskazującą na jego konto na Twitterze. Stamtąd analitycy znaleźli konto na platformie GitHub powiązane z hakerem, który używał wówczas pseudonimu “Subject X”. Group-IB twierdzi, że z tym kontem była powiązana lokalizacja w Północnej Karolinie w Stanach Zjednoczonych. Jednocześnie twierdzą, że mają więcej informacji nt. tożsamości sprawcy, ale zastrzeżono te dane na potrzeby procedowania śledztwa przez organy ścigania.

Rys. 6. Podgląd identyfikatora konta admina prywatnego kanału na Telegramie zbierającego dane z kampanii

Rys. 7. Namierzone konto na Twitterze “Subject X”

Kampania jest o tyle interesująca, ponieważ stosuje nisko kwalifikacyjne metody phishingowe, a jednak udało się skompromitować zabezpieczenia wielu znanych organizacji, w tym z branży IT. Co więcej, gdy napastnicy włamali się do środka, to byli w stanie szybko pivotować i przeprowadzać kolejne ataki z supply-chain co wskazuje, że atak został skrupulatnie zaplanowany z wyprzedzeniem.

Źródło:

1. https://www.group-ib.com/media/0ktapus-campaign/
2. https://blog.group-ib.com/0ktapus 
3. https://twitter.com/groupib_gib/status/1562723165964361728 

~tt