0ktapus kampány
A Group-IB felfedezte, hogy a Twilio és a Cloudflare alkalmazottai ellen a indított adathalász támadások annak a hatalmas adathalász kampánynak a részei, amelynek során több mint 130 szervezet 9931 fiókját vették célba. A kampányt a kutatók 0ktapus néven követik. A Group-IB Threat Intelligence csapata feltárta és elemezte a támadók adathalász infrastruktúráját, köztük az adathalász tartományokat, az adathalász készletet, valamint a fenyegetettség szereplői által irányított Telegram-csatornát.
A kutatók 169 egyedi adathalász domaint fedeztek fel a 0ktapus kampányban. A domainek olyan kulcsszavakat használtak, mint az “SSO”, “VPN”, “OKTA”, “MFA” és “HELP”. Az áldozat szemszögéből az adathalász oldal meggyőzőnek tűnik, mivel nagyon hasonlít arra a legitim hitelesítő oldalra, amelyet látni szoktak. Az adathalász oldalak elemzése során a szakemberek azt találták, hogy ugyanazt az adathalász készletet használták fel, amelyet a múltban még nem láttak. Az adathalász készlet kódjának további vizsgálata megmutatta a Telegram bot konfigurációjának és a támadók által a feltört adatok eldobására használt csatornának szentelt sorokat.