Mamba 2FA adlı hizmet olarak ortaya çıkan bir kimlik avı (PHAAS) platformu, iyi hazırlanmış giriş sayfaları kullanılarak AITM saldırılarında Microsoft 365 hesaplarını hedefleyen gözlenmiştir.
Buna ek olarak, Mamba 2FA, tehdit aktörlerine kurbanın kimlik doğrulama jetonlarını yakalamak ve hesaplarında çok faktörlü kimlik doğrulama (MFA) korumalarını atlamak için ortada bir düşman (AITM) mekanizması sunar.
Mamba 2FA şu anda siber suçlulara 250 $/ay karşılığında satılıyor, bu da onu alandaki en çekici ve en hızlı büyüyen kimlik avı platformları arasında konumlandıran rekabetçi bir fiyat.
Mamba 2FA ilk olarak Haziran 2024'ün sonlarında analistler tarafından belgelendi, ancak Sekoia, Mayıs 2024'ten beri kimlik avı platformuna bağlı etkinliği izlediğini bildirdi.
Ek kanıtlar, Mamba 2FA'nın Kasım 2023'ten bu yana kimlik avı kampanyalarını desteklediğini ve kit ICQ'da ve daha sonra Telegram'da satıldığını gösteriyor.
Run'un Mamba 2FA tarafından desteklenen bir kampanya raporu, kimlik avı kitinin işletmecileri, kimlik avı kampanyalarının gizliliğini ve uzun ömürlülüğünü artırmak için altyapılarında ve yöntemlerinde birkaç değişiklik yaptı.
Örneğin, Ekim ayından başlayarak, Mamba 2FA, ticari bir sağlayıcı olan Iproyal'dan kaynaklanan proxy sunucularını, röle sunucularının IP adreslerini kimlik doğrulama günlüklerinde maskelemek için tanıttı.
Daha önce, doğrudan Microsoft Entra kimlik sunucularına bağlı, IP adreslerini ortaya çıkaran ve blokları kolaylaştıran röle sunucuları.
Kimlik avı URL'lerinde kullanılan bağlantı alanları artık çok kısa ömürlüdür ve güvenlik çözümleri tarafından blok listesini önlemek için tipik olarak haftalık olarak döndürülmüştür.
Başka bir değişiklik, saldırıyı tetikleyen küçük bir JavaScript snippet'ini gizlemek için benign dolgu içeriğine sahip kimlik avı kampanyalarında kullanılan HTML eklerini geliştirerek güvenlik araçlarının tespit etmesini zorlaştırdı.
Mamba 2FA, kurumsal ve tüketici hesapları da dahil olmak üzere Microsoft 365 hizmetlerinin kullanıcılarını hedeflemek için özel olarak tasarlanmıştır.
Diğer benzer PHAAS platformları gibi, AITM kimlik avı saldırıları yapmak için proxy röleleri kullanır ve tehdit aktörlerinin tek seferlik parolalara ve kimlik doğrulama çerezlerine erişmesine izin verir.
AITM mekanizması, kimlik avı sayfası ile arka uçtaki röle sunucuları arasında iletişim kurmak için Socket.io JavaScript kitaplığını kullanır ve bu da çalınan verileri kullanarak Microsoft'un sunucularıyla iletişim kurar.
Mamba 2FA, OneDrive, SharePoint Online, Jenerik Microsoft oturum açma sayfaları ve Microsoft giriş sayfasına yönlendiren sahte sesli mesaj bildirimleri dahil olmak üzere çeşitli Microsoft 365 hizmetleri için kimlik avı şablonları sunar.
Kurumsal hesaplar için, kimlik avı sayfaları, hedeflenen kuruluşun logolar ve arka plan görüntüleri de dahil olmak üzere özel oturum açma markalaşmasını dinamik olarak üstlenir ve denemeyi daha otantik hale getirir.
Yakalanan kimlik bilgileri ve kimlik doğrulama çerezleri, bir telgraf botu aracılığıyla saldırgana iletilir ve bu da derhal bir oturum başlatmalarını sağlar.
Mamba 2FA ayrıca, analiz altında olduğunu çıkardığında kullanıcıları Google 404 web sayfalarına yönlendirerek sanal alan algılamaya sahiptir.
Genel olarak, Mamba 2FA platformu kuruluşlar için bir başka tehdittir ve düşük vasıflı aktörlerin oldukça etkili kimlik avı saldırıları yapmasına izin vermektedir.
AITM taktiklerini kullanarak PHAAS işlemlerine karşı korumak için donanım güvenlik anahtarları, sertifika tabanlı kimlik doğrulama, coğrafi engelleme, IP izin verme, cihaz izin verme ve belirteç ömrü kısaltmasını kullanmayı düşünün.
Polis, 483.000 kurbanla bağlantılı telefonun kilidini açma yüzüğünü söküyor
Microsoft Sway Massive QR Kod Kimlik Yardım Kampanyası'nda istismar edildi
Microsoft: Word, bazı belgeleri kaydetmek yerine siler
Microsoft ve DOJ Rus FSB Hacker'ların Saldırı Altyapısı
Microsoft, birçok klasöre sahip kullanıcılar için Outlook e -posta gönderme sorunu düzeltiyor
Kaynak: Bleeping Computer