Die Bedrohungsakteure hinter der jüngsten Angriffswelle auf mehrere Technologieunternehmen wie MailChimp, Twilio, Klaviyo usw. hätten im Rahmen ihrer Kampagne mehr als hundert Organisationen angegriffen – sagt das Team von Group-IB.
Um den Angreifer zu einer Person in den USA zurückverfolgen zu können, haben die Forscher alle Domänen aufgelistet, die der Hacker für seine Kampagne verwendet hat, und wie es ihm gelungen ist, in alle Domänen einzudringen. Insgesamt stellten sie fest, dass etwa 9.931 Anmeldeinformationen kompromittiert und für die Entführung von Unternehmen verwendet wurden.
Mit einem ausgeklügelten Phishing-Kit
Die Forscher von Group-IB haben die Vorgehensweise eines Bedrohungsakteurs detailliert beschrieben, der hinter den Angriffen auf Twilio, Klaviyo, MailChimp und einem Angriff auf Cloudflare steckte. Obwohl sie ihn nicht namentlich benennen, wiesen sie auf ein ausgeklügeltes Phishing-Kit mit dem Codenamen „0ktapus“ in ihrer Kampagne, die im März dieses Jahres begann.
Ihr spezielles Ziel besteht darin, die Okta-Anmeldeinformationen und die 2FA-Codes für weitere Angriffe zu stehlen. Für diejenigen, die es noch nicht wissen: Okta ist eine Identity-as-a-Service-Plattform (IDaaS), die hauptsächlich von Mitarbeitern für einen einfachen Login verwendet wird, um auf alle Software-Assets ihres Unternehmens zuzugreifen.
Sie beginnen damit, dass sie ihrem Ziel eine sorgfältig gestaltete SMS schicken, die den Betreff und einen externen Link zu ihrer Phishing-Website enthält. Diese Websites werden sorgfältig gestaltet, damit sie perfekt mit den Websites des Originalunternehmens übereinstimmen und für die Opfer wie eine alltägliche Erfahrung wirken.
Und wenn sie ihre Okta-Anmeldeinformationen und die betreffenden 2FA-Codes eingeben, werden diese an einen privaten Telegrammkanal übertragen – wahrscheinlich von den Bedrohungsakteuren verwaltet. Mithilfe dieser Details rufen sie die Daten ab und greifen auf das Unternehmenskonto der Zielperson zu, die dann zum Opfer wurde, um weitere vertrauliche Daten zu stehlen.
Auf diese Weise haben sie auf die Daten von Twilio, Klaviyo und MailChimp zugegriffen. Und indirekt haben sie auch Daten von DigitalOcean und Signal gehackt, da es sich bei diesen um Kunden der oben genannten Unternehmen handelt. Insgesamt hat der Bedrohungsakteur im Rahmen seiner Kampagne 9.931 Benutzeranmeldeinformationen von 136 Unternehmen, 3.129 Datensätze mit E-Mails und 5.441 Datensätze mit MFA-Codes gestohlen.
Die Mehrheit der angegriffenen Unternehmen befand sich in den USA, darunter einige namhafte Unternehmen wie T-Mobile, MetroPCS, Verizon Wireless, AT&038;T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games, Evernote, AT&038;T, HubSpot, TTEC und Best Buy.
Durch die Rückverfolgung des an dieser Kampagne beteiligten Telegram-Kontos entdeckten die Forscher den Standort dieses Benutzers – mit dem Namen „X“ – in North Carolina, USA. Obwohl sie über mehr Informationen über den Bedrohungsakteur verfügen, die sie weitergeben können, haben sie diese den Strafverfolgungsbehörden vorbehalten.
