Hotaktörer bakom den senaste vågen av attacker mot flera teknikföretag som MailChimp, Twilio, Klaviyo, etc., hade attackerat mer än hundra organisationer i sin kampanj – säger Group-IB-teamet.
Efter att ha spårat hotaktören mot någon i USA har forskare pekat på alla domäner som hackaren har använt i sin kampanj och hur de lyckades bryta mot dem alla. Sammantaget noterade de att 9 931 inloggningsuppgifter komprometterades och användes för att kapa företagen.
Med ett sofistikerat phishing-kit
Group-IB forskare har detaljerade arbetssättet av en hotskådespelare som låg bakom attackerna av Twilio, Klaviyo, MailChimp och ett försök mot Cloudflare. Även om de inte namngav dem som några, pekade de på ett sofistikerat nätfiske-kit med kodnamnet ‘0ktapusi sin kampanj – som startade i mars i år.
De syftar specifikt till att stjäla Okta-uppgifterna och dess 2FA-koder för ytterligare attacker. För ovetande är Okta en IDaaS-plattform (identity-as-a-service) som mest används av anställda för en enkel inloggning för att komma åt alla programvarutillgångar i deras företag.
De börjar med att skicka ett noggrant utformat SMS till sitt mål, som innehåller ämnet och en extern länk till deras nätfiskewebbplats. Dessa webbplatser är utformade noggrant för att matcha perfekt med det ursprungliga företagets webbplatser och verkar som en vardagsupplevelse för målen.
Och när de anger sina Okta-uppgifter och de berörda 2FA-koderna sänds dessa till en privat Telegram-kanal – förmodligen hanterad av hotaktörerna. När de hämtar dem använder de dessa uppgifter för att komma åt målet som blev offrets företagskonto för att stjäla känsligare data.
På så sätt fick de åtkomst till data från Twilio, Klaviyo och MailChimp. Och indirekt har de också brutit mot DigitalOcean och Signal, eftersom dessa är kunder till de ovan kompromissade företagen. Totalt sett har hotaktören stulit 9 931 användaruppgifter från 136 företag, 3 129 poster med e-post och 5 441 poster med MFA-koder i sin kampanj.
Majoriteten av företagen som riktades mot var i USA, med några notabiliteter som T-Mobile, MetroPCS, Verizon Wireless, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games, Evernote, AT&T, HubSpot, TTEC och Best Buy.
Efter att ha spårat tillbaka via Telegram-kontot som var inblandat i den här kampanjen upptäckte forskare platsen för denna användare – som heter “X” – i North Carolina, USA. Även om de har mer information om hotaktören att dela, reserverade de den för brottsbekämpande myndigheter att arbeta med.