据悉，针对 Twilio 和 Cloudflare 员工的攻击与大规模网络钓鱼活动有关，该活动导致 130 多个组织的 9,931 个帐户遭到入侵。

研究人员表示，这些活动与针对身份和访问管理公司 Okta 的攻击有关，该公司为威胁者取了 0ktapus 的绰号。

Group-IB 研究人员在最近的一份报告中写道：" 威胁者的主要目标是从目标组织的用户那里获取 Okta 身份凭证和多因素身份验证 ( MFA ) 代码。" 这些用户收到的短信包含模仿其组织的 Okta 身份验证页面的钓鱼网站链接。

受影响的有 114 家美国公司，另有其他 68 个国家也受到了影响。Group-IB 高级威胁情报分析师表示，攻击范围仍不得而知。

0ktapus 黑客想要什么

根据 Group-IB 分析的受损数据分析，0ktapus 攻击者的攻击目标是电信公司。虽然不确定威胁者如何获得用于 MFA 相关攻击的电话号码列表，但研究人员认为，0ktapus 攻击者的攻击目标大概率是电信公司。

接下来，攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主使用的 Okta 身份验证页面的网页。然后，受害者被要求提交 Okta 身份凭证以及员工用于保护其登录信息的多因素身份验证 ( MFA ) 代码。

在附带的技术博客中，Group-IB 的研究人员解释说，最初主要针对软件即服务公司的攻击只是多管齐下的攻击的第一阶段。0ktapus 的最终目标是访问公司邮件列表或面向客户的系统，以期促进供应链攻击。

在 Group-IB 发布报告的几个小时内，DoorDash 公司透露，它遭受了一次具有 0ktapus 式攻击所有特征的攻击。

爆炸半径：MFA 攻击

DoorDash 在博客文章中透露：" 未经授权的一方利用窃取的供应商员工凭证访问了我们的一些内部工具。" 根据该帖子，攻击者继续窃取客户和送货员的个人信息，包括姓名、电话号码、电子邮件和送货地址。

Group-IB 报告称，攻击者在攻击过程中破解了 5,441 个 MFA 代码。虽然 MFA   等安全措施看起来很安全，但很明显，攻击者可以用相对简单的工具攻破它们。

为了缓解 0ktapus 的活动，研究人员建议人们应注意 URL 和密码的安全，并使用符合 FIDO2 的安全密钥进行 MFA。无论使用哪种 MFA，都应该向用户传授针对其 MFA 形式实施的常见攻击类型、如何识别这些攻击以及如何应对。