0ktapus' Massive Phishing Campaign Hits 130 Companies—And MFA Wasn't Enough
One hundred thirty companies. That's the number Threatpost reported were victimized by a threat group calling itself 0ktapus in what amounts to a textbook case of why we can't trust authentication shortcuts anymore.
This isn't some theoretical vulnerability discovered in a lab. This is an active, documented company cyber attack campaign with real victims and specific, documented tactics. And it's the kind of thing that should make every security team sit up and take notice.
Breaking It Down
According to Threatpost, 0ktapus ran a phishing campaign that specifically targeted multi-factor authentication systems. The scope was sprawling—over 130 organizations across industries got caught in their net. But here's what makes this particularly nasty: these attackers weren't brute-forcing anything or finding zero-days. They were using social engineering to trick people into giving up their credentials.
The real question is how so many security-conscious organizations fell for it.
And then it got worse. Once attackers had those credentials, they could bypass MFA systems that were supposed to protect against exactly this scenario. Company cyber attack news outlets have been tracking similar incidents, but the scale here is significant. We're not talking about a handful of targets or a single vertical—this was widespread.
So why does this matter? Because most organizations rely on MFA as their primary defense against credential theft. If attackers can social engineer their way past it, that defense crumbles pretty fast.
The Technical Side
Let's talk about how this actually worked. 0ktapus sent phishing emails designed to look legitimate. The emails directed people to fake login pages—convincing replicas of real authentication systems. When victims entered their credentials, the attackers captured them.
That's step one.
Step two is where it gets interesting. The attackers then used those stolen credentials to attempt legitimate login. The actual authentication system would prompt for MFA. But here's the trick: the attackers would intercept that MFA prompt and relay it back to the victim through the fake login page, asking them to complete the second factor. The victim, believing they're still on the real site, obliges and provides the code.
Now the attacker has everything. Both factors. Real access. No alerts.
It's a relay attack, sometimes called MFA interception, and it's disturbingly effective because it exploits the one thing no amount of technical hardening can fully protect against: human behavior.
Who's Affected
According to Threatpost's reporting, the 130-plus victim companies spanned multiple sectors. Law firm cyber attacks have become increasingly common, and law firms were among the targets here—which isn't surprising given that legal organizations handle sensitive data and often have decent budgets for security (making them attractive targets).
Law firm cyber attack statistics have been trending upward, and this campaign adds another data point to that grim trajectory. When you look at law firms cyber attacks in 2024 and beyond, incidents like this become part of the pattern.
But it wasn't just legal firms. Tech companies, financial institutions, healthcare organizations—0ktapus cast a wide net. The diversity of targets suggests they weren't picky, which also suggests this was primarily a credential-harvesting operation designed to maximize access across as many organizations as possible.
What To Do Now
First, assume your team members have already clicked on something suspicious. That's not cynicism—that's experience. Deploy phishing simulation campaigns immediately if you haven't already, and actually track the results rather than letting them sit in a folder.
Second, consider your MFA implementation. Passwordless authentication systems are increasingly viable. Hardware security keys eliminate relay attacks entirely because they cryptographically verify the legitimate domain you're logging into. If that's not feasible yet, push for it. Make it a roadmap item.
Third, monitor for unusual login patterns—particularly logins from unexpected locations or devices, followed by immediate lateral movement or credential changes. 0ktapus-style attacks leave traces if you're looking for them.
And finally, talk to your employees about what legitimate authentication flows look like. Most phishing attacks work because people genuinely don't know what to expect. Education isn't a silver bullet, but it's significantly cheaper than recovering from a breach.
This campaign was real. The victims were real. And the vulnerabilities it exploited are still present in thousands of organizations right now.
Масштабна фішингова кампанія '0ktapus' вражає 130 компаній—і MFA виявився недостатнім
Сто тридцять компаній. Саме такою цифрою звітує Threatpost кількість організацій, які стали жертвами групи загроз під назвою 0ktapus—класичний приклад того, чому ми більше не можемо покладатися на скорочення у сфері автентифікації.
Це не якась теоретична вразливість, виявлена в лабораторії. Це активна, задокументована кампанія кібератак на компанії з реальними жертвами та конкретними, добре описаними тактиками. І це те, що повинно змусити кожну команду безпеки серйозно прислухатися.
Розбір ситуації
Згідно з повідомленням Threatpost, 0ktapus провела фішингову кампанію, спеціально спрямовану на системи багатофакторної автентифікації. Масштаб був вражаючим—понад 130 організацій у різних галузях потрапили в їхню сітку. Але ось що робить це особливо небезпечним: ці зловмисники не займалися перебиранням паролів або пошуком zero-day. Вони використовували соціальну інженерію, щоб змусити людей видати свої облікові дані.
Справжнє питання в тому, як стільки організацій, які переймаються безпекою, потрапили в пастку.
А потім стало ще гірше. Отримавши облікові дані, зловмисники змогли обійти системи MFA, які повинні були захищати від цього сценарію. ЗМІ про кібератаки на компанії відслідковують подібні інциденти, але масштаб тут суттєвий. Мова йде не про декілька цілей або один сегмент—це було широкомасштабне явище.
Чому це важливо? Тому що більшість організацій покладаються на MFA як на основний захист від крадіжки облікових даних. Якщо зловмисники можуть обійти його за допомогою соціальної інженерії, цей захист швидко розпадається.
Технічна сторона
Давайте розберемось, як це насправді працювало. 0ktapus розсилала фішингові листи, розраховані на те, щоб виглядати легітимно. Листи спрямовували людей на підроблені сторінки входу—переконливі копії реальних систем автентифікації. Коли жертви вводили свої облікові дані, зловмисники їх перехоплювали.
Це був перший крок.
Другий крок—вось де стає цікаво. Зловмисники потім використовували викрадені облікові дані для спроби легітимного входу. Реальна система автентифікації вимагала б MFA. Але ось трюк: зловмисники перехоплювали цей запит MFA і передавали його назад жертві через підроблену сторінку входу, пропонуючи завершити другий фактор. Жертва, думаючи, що все ще на справжньому сайті, погоджується і надає код.
Тепер зловмисник має все. Обидва фактори. Справжній доступ. Без попереджень.
Це relay-атака, іноді називається MFA interception, і вона страшно ефективна, тому що експлуатує єдине, від чого жоден обсяг технічного закріплення не може повністю захистити: людську поведінку.
Хто постраждав
Згідно з звітом Threatpost, понад 130 постраждалих компаній охоплювали різні сектори. Кібератаки на юридичні фірми стають все частішими, і юридичні фірми були серед цілей тут—що не дивує, враховуючи, що юридичні організації мають справу з чутливими даними та часто мають приголомшливі бюджети на безпеку (що робить їх привабливими цілями).
Статистика кібератак на юридичні фірми росте, і ця кампанія додає ще одну точку до цієї похмурої траєкторії. Коли ви розглядаєте кібератаки на юридичні фірми у 2024 році та далі, інциденти, подібні до цього, стають частиною картини.
Але це були не лише юридичні фірми. Технологічні компанії, фінансові установи, організації охорони здоров'я—0ktapus кинула широку сітку. Різноманітність цілей свідчить про те, що вони не були вибагливими, що також свідчить про те, що це була передусім операція по збору облікових даних, розрахована на максимізацію доступу до якомога більшої кількості організацій.
Що робити зараз
По-перше, припустимо, що члени вашої команди вже клікнули на щось підозріле. Це не цинізм—це досвід. Негайно запустіть кампанії фішингових симуляцій, якщо ви цього ще не зробили, і насправді відстежуйте результати, а не давайте їм лежати в папці.
По-друге, розглядайте вашу реалізацію MFA. Системи безпарольної автентифікації стають все більш життєздатними. Апаратні ключи безпеки повністю усувають relay-атаки, оскільки криптографічно перевіряють легітимний домен, на який ви входите. Якщо це поки що неможливо, прагніть цього. Зробіть це елементом дорожної карти.
По-третє, моніторьте необичні схеми входу—особливо входи з неочікуваних місць або пристроїв, за якими негайно следує бічний рух або зміни облікових даних. Атаки у стилі 0ktapus залишають сліди, якщо ви їх шукаєте.
І нарешті, поговоріть зі своїми співробітниками про те, як виглядають легітимні потоки автентифікації. Більшість фішингових атак працюють, тому що люди справді не знають, чого очікувати. Навчання—не універсальне рішення, але це значно дешевше, ніж відновлення після вторгнення.
Ця кампанія була реальною. Жертви були реальними. І вразливості, які вона експлуатувала, все ще присутні у тисячах організацій прямо зараз.