Group-IBは8月25日(現地時間)、「Roasting 0ktapus: The phishing campaign going after Okta identity credentials」において、アイデンティティ管理製品「Okta」のID資格情報を狙うフィッシングキャンペーンが展開されたと伝えた。130を超える組織が単純なフィッシングキットを使用した巧妙な攻撃によって侵害されたことが明らかとなった。
-
Roasting 0ktapus: The phishing campaign going after Okta identity credentials
シンガポールに拠点を置いているサイバーセキュリティ企業のGroup-IBによって、136の組織を対象とした広範囲なフィッシングキャンペーンが行われたことがわかった。同社は標的となった組織のユーザーからOktaのID認証情報と二要素認証(2FA: Two-Factor Authentication)コードの窃取を目的としたキャンペーンであったことから、「0ktapus」と名付けている。
キャンペーンの手口は、ターゲットとなる企業のOkta認証ページを装ったフィッシングWebサイトへのリンクを含むテキストメッセージを被害者に送るというものだったという。少なくとも169のユニークなフィッシングドメインが目的のために設定されており、被害を受けた組織は主に米国(114)が多く、インド(4)、カナダ(3)、フランス(2)、スウェーデン(2)と続いている。被害を受けた組織の大半はソフトウェアベンダーで、そのほか通信、ビジネスサービス、金融、教育、小売、物流などのセクターに属する企業も狙われたようだ。
-
Roasting 0ktapus: industry breakdown of the organizations targeted during Oktapus phishing campaign.
-
Roasting 0ktapus: Geolocation of headquarters of organizations targeted during Oktapus phishing campaign.
Group-IBのセキュリティ専門家は、脅威アクターが巧妙なサプライチェーン攻撃を開始するためにフィッシングキャンペーンを慎重に計画した可能性が高いと分析。認証情報を入力するサイトのURLを常に注意深く確認することや不明な送信元のURLはすべて疑わしいものとして扱うこと、認証情報が漏洩した可能性がある場合は直ちにパスワードを変更してすべてのアクティブなセッションからサインオフすることなど、適切な対応をとるよう推奨している。
