0ktapus Threat Group's Phishing Blitz Hits 130+ Companies—Here's What Happened
Over 130 companies got caught in the crosshairs of a single threat group. That's not a typo. According to Threatpost, the 0ktapus crew orchestrated a large-scale phishing campaign that specifically targeted multi-factor authentication systems, which is frankly infuriating because MFA is supposed to be our safety net against exactly this kind of thing.
And now it's compromised at scale.
Breaking It Down
Here's what we're dealing with: 0ktapus ran a coordinated phishing operation that fooled employees at multiple organizations into surrendering their credentials—not just their passwords, but the second factor that's supposed to lock attackers out entirely. Threatpost's reporting from August 2022 confirmed victims spanning multiple industries, which means this wasn't targeted at one vertical; it was a broad sweep.
The scope is what gets to me.
When you're dealing with attacks on this scale, you're not looking at a handful of sloppy phishing emails anymore. This is operationalized. This is a threat group that knows what they're doing, has the infrastructure to support it, and clearly has enough confidence in their technique to deploy it across 130 different environments with different security postures.
The group's name itself is clever—a reference to the octopus, an animal known for having many arms reaching into different places simultaneously. That's exactly what this campaign looked like: tentacles extending into organization after organization, all pulling the same way.
The Technical Side
So how'd they actually pull this off? The mechanics here are deceptively simple, which is why they work so well. The attackers built phishing pages that mimicked legitimate MFA prompts—the kind that pop up when you log into your email or corporate applications. Employees would receive a convincing email, click a link, get redirected to the fake authentication page, and enter their credentials plus their MFA code without thinking twice.
That MFA code?
It's time-limited. That's the whole point. But if you're capturing it in real-time—if your fake login page automatically submits it to the real authentication system while the employee's still typing—the attacker gets a valid session. The two-factor protection becomes window dressing.
This is what security folks call a "man-in-the-middle" play, except instead of being in the middle of the network, the attacker's in the middle of the user's decision-making process. And it's particularly nasty because no zero-day vulnerability needs to exist. No patching required. Just good social engineering wrapped in technical execution.
Who's Affected
The victim list spans multiple sectors—we're talking finance, technology, government contractors, and more. Threatpost's reporting didn't name every organization, but the breadth of the campaign became clear quickly. If you work at a mid-to-large enterprise with a decent security profile, there's a non-trivial chance you were targeted, even if you didn't realize it.
The real question is: how many of those 130 organizations actually got breached versus how many caught the attempts?
What To Do Now
First: audit your email filtering and gateway security right now. Phishing campaigns at this scale are detectable if you're looking for the pattern—redirects to lookalike domains, emails requesting MFA codes, that sort of thing.
Second, and this matters: your employees need training that actually sticks. Not the annual checkbox thing—real, practical scenarios that show people what a spoofed MFA prompt actually looks like versus the real thing.
Third, consider implementing conditional access policies. If a login attempt comes from a location or device that doesn't match baseline behavior, step up the verification requirements. Make the attacker's job harder even if they do get a valid code.
Check your logs for suspicious authentication attempts around late August 2022. If you see patterns you can't immediately explain, escalate to your incident response team. Because unlike some phishing campaigns, this one was targeted enough that victims probably had indicators worth finding if you look back.
Фішингова атака групи 0ktapus вразила 130+ компаній—ось що сталось
Понад 130 компаній потрапили в перехресний вогонь однієї групи загроз. Це не описка. За повідомленнями Threatpost, команда 0ktapus організувала масштабну фішингову кампанію, спеціально спрямовану на системи багатофакторної аутентифікації, що честно кажучи лютує, оскільки MFA повинна бути нашою захисною сіткою саме від цього роду речей.
І тепер вона скомпрометована в масштабі.
Розбір ситуації
Ось з чим ми маємо справу: 0ktapus провела координовану фішингову операцію, яка обманула співробітників кількох організацій і змусила їх здати свої облікові дані—не просто паролі, а другий фактор, який повинен повністю заблокувати зловмисників. Звіт Threatpost від серпня 2022 року підтвердив жертв у кількох галузях, що означає, що це був не напад на один вертикальний сегмент; це був широкий замах.
Масштаб—ось що мене бентежить.
Коли ви маєте справу з атаками такого масштабу, ви вже не дивитеся на жменю неналежно підготовлених фішингових листів. Це операціоналізовано. Це група загроз, яка знає, що робить, має інфраструктуру для її підтримки, і явно має достатньо впевненості в своїй техніці, щоб розгорнути її в 130 різних середовищах з різними рівнями захисту безпеки.
Назва самої групи розумна—посилання на восьминога, тварину, відому тим, що має багато щупалець, які тягнуться в різні місця одночасно. Саме так виглядала ця кампанія: щупальця, що розповсюджуються в організацію за організацією, усі рухаються в одному напрямку.
Технічна сторона
Отже, як їм це вдалось зробити? Механіка тут обманливо проста, саме тому вона працює настільки добре. Зловмисники створили фішингові сторінки, які імітували законні MFA запити—такі, що з'являються, коли ви входите в електронну пошту або корпоративні програми. Співробітники отримували переконливий лист, клікали на посилання, перенаправлялися на фальшиву сторінку аутентифікації й вводили свої облікові дані та свій MFA код, не замислюючись.
Цей MFA код?
Він обмежений за часом. У цьому весь сенс. Але якщо ви його захоплюєте в реальному часі—якщо ваша фальшива сторінка входу автоматично надсилає його до реальної системи аутентифікації, поки співробітник все ще вводить дані—зловмисник отримує дійсну сесію. Двофакторний захист стає просто декорацією.
Це те, що фахівці з безпеки називають грою «man-in-the-middle», за винятком того, що замість того, щоб знаходитись посередині мережі, зловмисник знаходиться посередині процесу прийняття рішень користувачем. І це особливо гнузаво, оскільки не потрібно існувати жодній уразливості нульового дня. Патчування не потрібне. Просто хороша соціальна інженерія, обернена в технічне виконання.
Кого торкнулось
Список жертв охоплює кілька секторів—ми говоримо про фінанси, технології, урядових підрядників та інших. Звіт Threatpost не назвав кожну організацію, але масштаб кампанії став відразу ясний. Якщо ви працюєте на середньому або великому підприємстві з гідним профілем безпеки, є значна вірогідність того, що вас цілювали, навіть якщо ви цього не помітили.
Справжнє питання: скільки з цих 130 організацій насправді були скомпрометовані, а скільки виявили спроби?
Що робити зараз
По-перше: проведіть аудит фільтрування електронної пошти та безпеки шлюзу прямо зараз. Фішингові кампанії такого масштабу виявляються, якщо ви шукаєте закономірність—перенаправлення на доменні подібності, листи з проханням MFA кодів, і таке інше.
По-друге, і це важливо: ваші співробітники потребують навчання, яке дійсно залишиться. Не річне галочка—реальні практичні сценарії, які показують людям, як виглядає підроблений MFA запит насправді порівняно з справжнім.
По-третє, розглядайте запровадження політик умовного доступу. Якщо спроба входу надходить з місця або пристрою, які не відповідають базовій поведінці, посиліть вимоги до верифікації. Ускладніть завдання зловмиснику, навіть якщо він отримає дійсний код.
Перевірте ваші журнали на підозрілі спроби аутентифікації навколо кінця серпня 2022 року. Якщо ви бачите закономірності, які не можете негайно пояснити, передайте команді реагування на інциденти. Оскільки на відміну від деяких фішингових кампаній, ця була достатньо цільовою, що жертви, ймовірно, мали індикатори вартих знайти, якщо ви подивитеся назад.