在8月初接連攻擊云通訊巨頭Twilio和云服務(wù)商Cloudflare后，攻擊者逐漸浮出水面。網(wǎng)絡(luò)安全公司Group-IB指出，該組織在數(shù)月內(nèi)瘋狂入侵了130多家機(jī)構(gòu)，盜取了近1萬(wàn)名員工的憑證。

Group-IB將該攻擊組織追蹤為0ktapus，該組織主要攻擊使用Okta單點(diǎn)登錄服務(wù)的企業(yè)。

Group-IB在一名客戶受到網(wǎng)絡(luò)釣魚攻擊后開(kāi)展調(diào)查，結(jié)果顯示，自3月以來(lái)，其至少竊取了9931個(gè)用戶證書，其中超過(guò)一半包含用于訪問(wèn)公司網(wǎng)絡(luò)的多因素認(rèn)證碼。

Group-IB高級(jí)威脅情報(bào)分析師Roberto Martinez向媒體表示，“在許多情況下，有一些特定的圖像、字體或腳本，可以用來(lái)識(shí)別用使用同一套釣魚工具設(shè)計(jì)的釣魚網(wǎng)站。"在這種情況下，我們發(fā)現(xiàn)了一個(gè)被釣魚的使用Okta認(rèn)證的網(wǎng)站?！?/p>

“這些攻擊案例很有意思，盡管它的技術(shù)含量低，但它還是能夠危害大量知名組織，”Group-IB表示，“一旦攻擊者入侵了一個(gè)組織，他們就能夠迅速轉(zhuǎn)向并發(fā)起后續(xù)的供應(yīng)鏈攻擊，這表明攻擊是經(jīng)過(guò)事先精心策劃的。”

據(jù)信，0ktapus至少定制了 169 個(gè)域用于網(wǎng)絡(luò)釣魚，這些網(wǎng)站通過(guò)使用以前未記錄的網(wǎng)絡(luò)釣魚工具包進(jìn)行聯(lián)合攻擊。受害組織主要位于美國(guó)（114 個(gè)）、印度（4 個(gè)）、加拿大（3 個(gè)）、法國(guó)（2 個(gè)）、瑞典（2 個(gè)）和澳大利亞（1個(gè)） 等，分布在通訊、商業(yè)服務(wù)、金融、教育、零售、物流等行業(yè)。

雖然目前還不清楚攻擊者是如何獲得電話號(hào)碼和員工姓名并發(fā)送短信釣魚消息，Group-IB指出，攻擊者首先以移動(dòng)運(yùn)營(yíng)商和電信公司為目標(biāo)，”可能從最初的攻擊中收集到這些號(hào)碼?！?/p>

該組織的最終目標(biāo)仍不清楚，可能是間諜活動(dòng)和經(jīng)濟(jì)動(dòng)機(jī)，攻擊者可以訪問(wèn)機(jī)密數(shù)據(jù)、知識(shí)產(chǎn)權(quán)、公司收件箱以及虹吸資金。最重要的是，入侵 Signal 帳戶意味著，攻擊者還試圖獲取私人對(duì)話和其他敏感數(shù)據(jù)。