Hizmet olarak kimlik avı (PHAAS) platformları gelişmeye devam ederek saldırganlara kurumsal hesaplara girmek için daha hızlı ve daha ucuz yollar verdi. Şimdi araştırmacılar Any. run yeni bir katılımcı ortaya çıkardı: Salty2fabirden fazla iki faktörlü kimlik doğrulama yöntemini atlamak ve geleneksel savunmaları geçecek bir kimlik avı kiti.
ABD ve AB’deki kampanyalarda zaten tespit edilen Salty2FA, finanstan enerjiye endüstrileri hedefleyerek işletmeleri riske atıyor. Çok aşamalı yürütme zinciri, kaçan altyapısı ve kimlik bilgilerini ve 2FA kodlarını kesme yeteneği, onu bu yıl görülen en tehlikeli PHAAS çerçevelerinden biri haline getiriyor.
Salty2fa neden işletmeler için riskleri yükseltiyor?
Salty2fa’nın yeteneği Bypass push, SMS ve ses tabanlı 2FA Çalıntı kimlik bilgilerinin doğrudan hesap devralmasına yol açabileceği anlamına gelir. Zaten finans, enerji ve telekom sektörlerine yönelik olan kit, ortak kimlik avı e-postalarını yüksek etkili ihlallere dönüştürüyor.
Kim hedefleniyor?
Any. ABD ve AB işletmeleri en ağır vuruş.
| Bölge | Anahtar hedeflenen endüstriler |
| Amerika Birleşik Devletleri | Finans, sağlık hizmeti, hükümet, lojistik, enerji, BT danışmanlığı, eğitim, inşaat |
| Avrupa (İngiltere, Almanya, İspanya, İtalya, Yunanistan, İsviçre) | Telekom, kimyasallar, enerji (güneş dahil), endüstriyel üretim, gayrimenkul, danışmanlık |
| Dünya çapında / diğer | Lojistik, BT, Metalurji (Hindistan, Kanada, Fransa, Latam) |
Salty2fa ne zaman işletmeleri vurmaya başladı?
Run Sandbox ve Ti’den alınan verilere dayanarak, SALTY2FA aktivitesi Haziran 2025’te ivme kazanmaya başladı ve muhtemelen Mart ayına kadar erken izler. Onaylanan kampanyalar Temmuz ayı sonundan bu yana aktif ve günümüzde düzinelerce yeni analiz oturumu üreterek bu güne devam ediyor.
Gerçek Dünya Vaka: Salty2FA Kurumsal Çalışanları Nasıl Kullanıyor
Herhangi bir vaka, herhangi bir vaka. Bir çalışan konu satırını içeren bir e -posta aldı “Harici İnceleme İsteği: 2025 Ödeme Düzeltmesi”, aciliyeti tetiklemek ve şüpheciliği atlamak için tasarlanmış bir yem.
Run Sandbox’ta açıldığında, saldırı zinciri adım adım açıldı:
Salty2fa saldırısının gerçek dünyasını görüntüleyin
 |
| Salty2fa saldırısı ile kötü niyetli e -posta herhangi bir içinde analiz edildi. Run Sandbox |
Aşama 1: E -posta Lure
E -posta, rutin bir iş mesajı olarak gizlenmiş bir ödeme düzeltme talebi içeriyordu.
Soruşturma süresini kesen ve herhangi biriyle daha hızlı ihlalleri durduran dünya çapında 15k+ işletmelere katılın.
Şimdi başlayın
Aşama 2: Yönlendirme ve Sahte Giriş
Bağlantı, otomatik filtreleri atlamak için Cloudflare kontrollerine sarılmış bir Microsoft markalı oturum açma sayfasına yol açtı. Sandbox’ta, herhangi bir.Run’un otomatik etkileşimi doğrulamayı otomatik olarak ele aldı, manuel tıklamalar olmadan akışı açığa çıkardı ve analistler için araştırma süresini kesti.
 |
| Cloudflare doğrulaması otomatik olarak herhangi birinin içinde tamamlandı. Run Sandbox |
Aşama 3: Kimlik Bilgisi Hırsızlığı
Sayfaya girilen çalışan detayları hasat edildi ve saldırgan kontrollü sunuculara eklenti.
 |
| Sahte Microsoft Page, kurbanlardan kimlik bilgilerini çalmaya hazır |
Aşama 4: 2FA bypass
Hesap çok faktörlü kimlik doğrulama etkinleştirilmişse, kimlik avı sayfası kodları istedi ve itme, SMS ve hatta sesli çağrı doğrulamasını engelleyebilir.
Dosyayı sanal alanında çalıştırarak, SOC ekipleri ilk tıklamadan kimlik bilgisi hırsızlığı ve 2FA müdahalesine kadar tüm yürütme zincirini gerçek zamanlı olarak görebilirler. Bu görünürlük seviyesi kritiktir, çünkü alan veya karmalar gibi statik göstergeler günlük olarak mutasyona uğrar, ancak davranış kalıpları tutarlı kalır. Sandbox analizi, tehditlerin daha hızlı doğrulanmasını, azaltılmış analist iş yükünü ve Salty2FA gibi gelişen Phaas kitlerine karşı daha iyi kapsamı sağlar.
Salty2fa’yı Durdurmak: SOCS Sırada Ne Yapmalı
Salty2fa, hizmet olarak kimlik avının ne kadar hızlı geliştiğini ve statik göstergelerin neden durmadığını gösteriyor. SOC’ler ve güvenlik liderleri için koruma, odağı davranışlara ve yanıt hızına kaydırmak anlamına gelir:
- Davranışsal tespite güvenin: Sürekli değişen IOC’leri kovalamak yerine etki alanı yapıları ve sayfa mantığı gibi yinelenen desenleri izleyin.
- Şüpheli e -postaları bir kum havuzunda patlatın: Tam zincirli görünürlük, gerçek zamanlı olarak kimlik bilgisi hırsızlığı ve 2FA müdahale girişimlerini ortaya çıkarır.
- Harden MFA politikaları: SMS ve ses üzerinde uygulama tabanlı veya donanım jetonlarını tercih edin ve bayrak riskli girişlerine koşullu erişim kullanın.
- Çalışanları finansal yemlerde eğitin: “Ödeme Düzeltme” veya “Faturalandırma Beyanı” gibi ortak kancalar her zaman şüphe duymalıdır.
- Sandbox sonuçlarını yığınınıza entegre edin: Canlı saldırı verilerinin SIEM/Soar hızları algılamaya beslenmesi ve manuel iş yükünü azaltır.
Bu önlemleri birleştirerek, işletmeler Salty2FA’yı gizli bir riskten bilinen ve yönetilebilir bir tehdide dönüştürebilir.
Etkileşimli kum havuzu ile SOC verimliliğini artırın
Dünya çapında işletmeler, Salty2FA gibi gelişmiş kimlik avı kitlerine karşı savunmalarını güçlendirmek için herhangi bir şey gibi etkileşimli sanal alanlara yöneliyor. Sonuçlar ölçülebilir:
- 3 × SOC verimliliği Etkileşimli analiz ve otomasyonu birleştirerek.
- % 50’ye kadar daha hızlı soruşturmasaatlerden dakikalara kesme süresi.
- Kullanıcıların% 94’ü daha hızlı triyaj bildiriyorkendinden emin karar verme için daha net IOC’ler ve TTP’lerle.
- % 30 daha az katman 1 – daha fazla 2 artışgenç analistler güven kazandıkça ve kıdemli personel kritik görevlere odaklanmak için serbest bırakılır.
Görünürlükle 60 saniyenin altında tehditlerin% 88’iişletmeler, büyük bir ihlale yol açmadan önce kimlik avını durdurmak için ihtiyaç duydukları hızı ve netliği elde ederler.
Bugün herhangi bir deneyin.