成功侵入Twilio并锁定目标的黑客Cloudflare据安全研究人员称,他们一直在追踪软件、金融和电信行业的数十家公司。
黑客使用了网络钓鱼据网络安全公司Group-IB称,这套名为“Oktapus”的工具包将针对130多个组织,其中大多数位于美国。该公司发表(在一个新窗口中打开)周四发布的一份报告涵盖了使用的工具,并透露了其中一名黑客的可能身份。
钓鱼工具包是一套软件工具,可以创建钓鱼信息和网站,诱骗毫无戒心的用户输入登录凭证。在这种情况下,Oktapus黑客一直在向不同公司的员工发送短信。这些信息导致看似合法,但最终是假的,能够记录密码的Okta登录页面。
“从受害者的角度来看,钓鱼网站看起来很有说服力,因为它与他们习惯看到的认证页面非常相似。受害者会被提示输入用户名和密码,一旦输入,就会显示第二个页面,要求输入他们的2FA(双因素认证)码。”然后,黑客会迅速使用包括2FA代码在内的登录凭证,侵入员工的公司账户。
group - ib通过在互联网上搜索黑客添加到他们的钓鱼页面上的图片,追踪到了Oktapus组织的活动。这使得这家安全公司发现了Oktapus网络钓鱼工具包一直针对的多家公司。group - ib还设法下载了一份黑客的网络钓鱼工具包,Oktapus将其分享到一个文件托管服务上。
这家安全公司的调查显示,自今年3月以来,Oktapus窃取了至少9931个用户证书,其中包括5441个多因素认证码。在这些被盗的用户证书中,有3120个与属于136个组织的独特电子邮件域有关。
Group-IB表示:“受害者名单上的大多数公司都是提供IT、软件开发和云服务的公司。”黑客的目标很可能是渗透到这些公司,窃取更多信息,包括私人和机密数据。
Group-IB表示:“根据我们分析的泄露数据,黑客开始攻击移动运营商和电信公司。”这可能就是黑客获取他们试图渗透的不同公司员工电话号码的方式。一些使用的钓鱼域名提到AT&T、T-Mobile和MetroPCS,以及百思买、Coinbase和币安。
主题X
组ib然后检查了一个通道上电报钓鱼工具包用来收集被泄露的用户数据的即时通讯应用。这导致该安全公司发现了一个名为X的用户,他管理着Telegram频道。
“使用Group-IB威胁情报来监控网络犯罪分子使用的Telegram频道,我们能够识别出受试者X在某一时刻活跃的几个频道。主体X在2019年发布的一篇帖子让我们找到了他的推特账户。该工具还提供了该频道管理员的姓名和姓氏,然后采用了‘X’这个名字。”
Group-IB表示,他们还发现了属于这名黑客的GitHub账户,该账户包含一个个人资料,显示该用户来自北卡罗来纳州。Group-IB没有立即回复记者的置评请求。但据推测,安保公司已经把细节交给了执法部门。