На протяжении многих лет киберпреступники используют социальную инженерию и фишинговые атаки, чтобы обманом заставить ничего не подозревающих жертв предоставить свои учетные данные. Эти учетные данные использовались для предоставления киберпреступникам доступа к широкому спектру ресурсов компании для ряда хорошо документированных целей. Чтобы опередить злоумышленников и выполнить свою миссию по борьбе со всеми видами киберпреступлений, Group-IB помогает организациям защитить свои цифровые активы и выявить злоумышленников, которые их атакуют, расследуя фишинговые атаки.
0ktapus
26 июля 2022 года аналитики Group-IB получили запрос от клиента нашего решения Threat Intelligence с просьбой предоставить дополнительную информацию о недавней фишинговой атаке. Расследование началось после того, как клиент предоставил доменные имена и IP-адреса, использованные в атаке.
Используя комбинацию из Group-IB Threat Intelligence, собственных и общедоступных инструментов, мы смогли получить список доменов, подвергшихся атаке. Наш клиент был лишь одним из нескольких известных организаций, которые подверглись массированной фишинговой кампании под кодовым названием 0ktapus, разработанным исследователями Group-IB. Первоначальная цель злоумышленников была ясна: получить учетные данные Okta и коды двухфакторной аутентификации (2FA) от пользователей целевых организаций. Имея на руках эту информацию, злоумышленники могли получить несанкционированный доступ к любым ресурсам предприятия, к которым имели доступ жертвы.
Этот случай представляет интерес, поскольку, несмотря на использование низкоквалифицированных методов, удалось скомпрометировать большое количество известных организаций. Более того, как только злоумышленники скомпрометировали организацию, они быстро смогли развернуться и начать последующие атаки на цепочки поставок, что указывает на то, что атака была тщательно спланирована заранее.
Indicators of Compromise
IPv4
- 104.248.234.27
- 104.248.236.115
- 108.61.119.20
- 137.184.136.163
- 137.184.55.52
- 138.197.194.87
- 138.197.7.153
- 138.68.26.2
- 138.68.27.0
- 140.82.63.209
- 143.198.156.234
- 143.198.164.89
- 143.244.178.172
- 144.202.117.57
- 144.202.17.28
- 144.202.82.47
- 146.190.42.89
- 146.190.44.66
- 147.182.132.52
- 147.182.201.149
- 147.182.218.194
- 149.248.1.50
- 149.248.62.54
- 149.28.110.16
- 149.28.212.53
- 149.28.37.137
- 155.138.240.251
- 157.245.246.85
- 159.223.160.128
- 159.89.159.7
- 159.89.93.54
- 161.35.119.80
- 165.227.57.16
- 165.227.79.161
- 167.172.141.4
- 167.99.221.10
- 172.105.98.36
- 192.241.142.113
- 216.128.141.52
- 45.32.66.165
- 45.63.39.116
- 45.63.39.151
- 45.63.79.150
- 45.76.171.233
- 45.76.238.53
- 45.76.80.199
- 64.227.23.72
- 66.175.217.141
- 66.42.107.233
- 66.42.90.140
- 66.42.91.138
- 67.205.146.165
- 67.205.151.76
- 67.205.154.21
- 69.55.49.252
- 95.179.238.3
Domains
- activecampaign-okta.com
- alorica-vpn.com
- arise-okta.com
- atento-help.com
- att-citrix.com
- att-citrix.net
- att-ctx.com
- att-id.net
- att-mfa.com
- att-opus.net
- att-rsa.com
- att-sso.com
- att-sso.net
- att-support.org
- att-uid.co
- att-uid.com
- att-uid.net
- att-vmware.com
- att-vpn.com
- att-vpn.org
- at-uid.com
- bandwidth-okta.com
- bestbuy-vpn.com
- binance-okta.com
- boxokta.com
- box-okta.org
- cb-okta.com
- cb-okta.net
- cgslnc-okta.com
- cloudflare-okta.com
- coin-base-okta.com
- concentrixhelp.com
- concentrix-sso.com
- concentrlx.com
- conexusonline.com
- corp-att.net
- customer-internal.com
- epicgames-okta.com
- epicgames-vpn.com
- evernote-onelogin.com
- hubspot-sso.com
- infosys-vpn.com
- intercom-vpn.com
- internai-customer.io
- iqor-duo.net
- iqor-help.com
- iqor-help.net
- iqor-helpdesk.com
- iqor-portal.com
- iqor-sso.com
- iqor-tmobile.com
- klaviyo-sso.com
- kucoinpin.com
- kucoin-pin.com
- kucoinpin.net
- kucoin-pin.net
- kucoin-sso.com
- kucoin-sso.net
- loginxarth.tv
- maiichlmp.com
- mailchimp-help.com
- mailchimp-okta.com
- mailchimp-sso.com
- mailgun-okta.com
- mcsupport-okta.com
- medailia-okta.com
- metropcs-edge.net
- microsoft-sso.net
- mlcrosoft.cloud
- mlcrosoft.info
- mytpusa.com
- mytpusa.net
- okta.tmobiie.net
- okta-drop.com
- okta-hubspot.com
- okta-oath.com
- okta-riotgames.com
- okta-sso.net
- okta-tmo.org
- okta-tmobiie.net
- okta-tmobile.org
- one-login.co
- opus-att.com
- ouryahooinc-okta.com
- ouryahoo-okta.com
- ouryahoo-okta.net
- ouryahoo-okta.org
- quaifon.com
- quaifone.com
- qualfon-sso.com
- riotgames-okta.com
- riotgames-vpn.com
- riotgames-vpn.net
- rogers-help.net
- rogers-rci.com
- rogers-rci.net
- rogers-sso.com
- rogers-sso.net
- rogers-ssp.com
- sendgrid-okta.org
- sinch-sso.com
- sitel-help.com
- sitel-sso.com
- sitel-vpn.net
- slack-mailchimp.com
- snap-okta.com
- snap-okta.net
- sprint-idg.net
- startek-vpn.com
- sutherlandglobal-vpn.com
- sykes-help.com
- sykes-sso.com
- sykes-vpn.com
- taskus-sso.com
- taskus-vpn.com
- techmahindra-sso.com
- teleperformance-help.com
- teleperformance-sso.com
- teleperformance-usa.net
- teleperformanceusa-sso.com
- telus-sso.com
- tmo.ac
- tmobie.net
- t-mobiie.co
- t-mobiie.net
- t-mobiie.org
- tmobile-okta.com
- t-mobile-okta.com
- tmobile-okta.net
- t-mobile-okta.net
- t-mobile-okta.org
- t-mobile-okta.us
- tmobiler.net
- t-mobilers.com
- tmoble.net
- t-moblie.help
- tmoblie.net
- t-moblie-okta.com
- t-moblier.org
- tmoblle.co
- tmoblle.net
- tmoblle.org
- t-moblle.org
- tmo-okta.com
- tmo-sso.com
- tmo-sso.net
- tp-update.com
- tp-usa.net
- tpusa-citrix.com
- transcom-help.com
- transcom-sso.com
- ttec-help.com
- ttecvpn.com
- ttec-vpn.com
- twiiio.net
- twiiio.org
- twiiio-okta.net
- twiiio-sso.com
- twilio-help.com
- twilio-okta.com
- twilio-sso.com
- twitter-okta.com
- twit-vpn.com
- twlilo.net
- uid-att.com
- verizon-sso.net
- vzwcorp.co
- vzw-corp.net