2024’ün sonlarında ve 2025’in başlarında Darktrace’in Güvenlik Operasyon Merkezi (SOC), siber suçlular, sofistike kimlik avı kampanyalarını düzenlemek için Milanote gibi Hizmet Olarak Yazılım (SaaS) platformlarından yararlanıyor.
Tycoon 2FA kimlik avı kiti tarafından desteklenen bu saldırılar, çok faktörlü kimlik doğrulama (MFA) korumalarını sünnet eden gelişmiş bir ortada düşman (AITM) yaklaşımı göstermektedir.
Gizli saldırılar için meşru hizmetlerden yararlanmak
Güvenilir hizmetleri kötüye kullanarak, tehdit aktörleri iyi huylu görünen kimlik avı e -postaları göndererek Milanote’un meşru e -posta altyapısını geleneksel güvenlik ağ geçitlerini atlamak için kullanıyor.
.png
)
Darktrace, kuruluşlar arasında birden fazla dahili kullanıcıya gönderilen kimlik avı e -postalarını belirledi, konu satırları “yeni anlaşmalar” ve iç meslektaşları derhal şüphe duymadan merak uyandırdı.
Destek@Milanote gibi meşru adreslerden kaynaklanan bu e -postalar[.]com, Milanote’un kendisinde barındırılan kimlik bilgisi hasat sayfalarına yol açan kötü niyetli bağlantılar içeriyordu ve kötü niyetli niyeti alıcıları aldatmak için güvenilir alanlarla harmanladı.
Tycoon 2FA: SaaS güvenliği için kalıcı bir tehdit
İlk olarak Ağustos 2023’te gözlemlenen ve hizmet olarak kimlik avı (PHAAS) modelleri aracılığıyla dağıtılan Tycoon 2FA kimlik avı kiti, sahte Microsoft veya Google giriş sayfalarında kimlik doğrulama sırasında kimlik bilgilerini ve MFA tokenlerini ele geçirerek SaaS ortamları için önemli bir tehdit oluşturur.
Mağdurlar MFA’yı tamamladıktan sonra, kit oturum çerezlerini yakalar ve saldırganların kimlik bilgileri sıfırlansa bile oturumları tekrar oynamasına ve erişim hesaplarına izin verir.
Darktrace’in analizi, kullanıcılar kötü niyetli Milanote bağlantılarıyla etkileşime girdikten sonra, cihazlarının LRN.IALEAHED gibi Tycoon 2FA ile ilişkili alanları sorguladığını ortaya koydu.[.]com, kitin katılımını gösterir.
Doğru hırsızlığın ardından saldırganlar, genellikle kıçımı gizle VPN’ler tarafından maskelenen nadir ABD tabanlı IP adreslerinden uzlaşmış SaaS hesaplarına erişirken, meşru kullanıcılar başka bir yerde aktif kaldı ve AITM taktiklerinin gizliliğini sergiledi.
Ayrıca, saldırganlar “Milanote” içeren gelen e -postaları silmek, faaliyetlerini gizlemek ve daha fazla kimlik avı girişimlerini yaymak için uzlaşmış hesapları kullanmak ve böylece kampanyanın erişimini artırmak için “GTH” gibi posta kutusu kuralları oluşturdular.
Darktrace’in anomali tabanlı tespiti, bu tehditlerin belirlenmesinde, olağandışı gönderen davranışlarını, yüksek alıcı dalgalanmalarını ve nadir giriş konumlarını, kimlik avı e-postaları için% 82 kötülük olasılığı ile kritik bir rol oynadı.
Şüpheli girişleri tespit ettikten birkaç dakika sonra, Darktrace’in özerk yanıtı, uzlaşmış hesapları devre dışı bırakırken, SOC ekibi şifreleri sıfırlamak, oturumları sonlandırmak ve kötü amaçlı kuralları kaldırmak için etkilenen müşterilerle işbirliği yaptı.
Bu olay, gelen kutu kuralı oluşturma ve Almanca, İspanyolca ve Portekizce’de çok dilli kimlik avı e -postaları gibi tutarlı taktikler içeren, birden fazla kuruluşta gözlemlenen benzer saldırılarla daha geniş bir Milanote kimlik avı kampanyasının altını çiziyor.
Şimdi analizi engellemek için gizleme teknikleri ile donatılmış gelişen Tycoon 2FA kiti, AITM saldırılarını tespit etmenin artan zorluğunu vurgulamaktadır.
MFA’nın benimsenmesi arttıkça, bu tür kitlere siber suçlular tarafından güven, gelişmiş güvenlik araçları ve kötü niyetli amaçlar için meşru platformların kötüye kullanılmasıyla mücadele etmek için kullanıcı farkındalığını arttırır.
Darktrace’in proaktif muhafaza ve siber AI analisti tarafından ayrıntılı olay korelasyonu, karmaşıklığın ortasında netlik sağladı ve SaaS güvenliğine karşı bu sinsi tehditlere karşı sağlam, uyarlanabilir savunmalara duyulan ihtiyacı vurguladı.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!