Mamba Toolkit, Gelişmiş Kimlik Avı Saldırısında Çok Faktörlü Kimlik Doğrulamayı Kötüye Kullanıyor


Mamba Toolkit, Gelişmiş Kimlik Avı Saldırısında Çok Faktörlü Kimlik Doğrulamayı Kötüye Kullanıyor

Kimlik avı saldırıları, tehdit aktörlerinin bireyleri hassas bilgileri (“şifreler” veya “finansal ayrıntılar”) ifşa etmeleri için kandırmak amacıyla saygın kuruluşların kimliğine büründüğü gizli siber tehditlerdir.

Bu tür saldırılar, aciliyet hissi yaratan “e-postalar” veya “mesajlar” aracılığıyla gerçekleştirilir.

Hizmet Olarak SIEM

Sadece bu da değil, tüm bu dolandırıcılıklar genellikle kurbanları “kötü amaçlı web sitelerine” yönlendiriyor veya “onları zararlı eklentiler indirmeye teşvik ediyor.”

Sekoia’daki siber güvenlik araştırmacıları yakın zamanda “Mamba” araç setinin karmaşık kimlik avı saldırılarında çok faktörlü kimlik doğrulamayı etkin bir şekilde kötüye kullandığını keşfetti.

Ekim 2024’te siber güvenlik araştırmacıları “Mamba 2FA” adı verilen gelişmiş bir kimlik avı kampanyası keşfetti.

Bu kimlik avı kampanyası, “Microsoft oturum açma sayfalarının” ikna edici kopyalarını oluşturan karmaşık “HTML ekleri” aracılığıyla Microsoft 365 kullanıcılarını hedefliyor.

Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free

Bu kimlik avı araç seti bir “AiTM” tekniği kullanıyor ve “Socket” tekniğinden yararlanıyor[.]Geleneksel MFA korumalarından kaçmasını sağlayan arka uç sunucularla “gerçek zamanlı websocket bağlantıları” kurmak için IO” JavaScript kitaplığı.

Kimlik avı altyapısı, URL’lerin belirli bir modeli (https://{domain}/{m,n,o}/?{Base64 string}) takip ettiği “iki katmanlı bir sistem” aracılığıyla çalışır: –

  • Alan adlarını bağlayın
  • Aktarma sunucuları

Kit, dört farklı kimlik avı sayfası şablonunu destekler: “OneDrive (o365_#one),” “genel Microsoft oturum açma (o365#nom),” “SharePoint Online güvenli bağlantısı (o365#sp)” ve “sesli posta bildirimleri (o365) #_ses).”

Telegram aracılığıyla ’30 günlük abonelik başına 250 ABD doları’ karşılığında bir “PhaaS platformu” olarak mevcuttur. Böylece müşteriler, bu abonelikle özel bir bot aracılığıyla özelleştirilmiş “kimlik avı bağlantıları” ve “HTML ekleri” oluşturabilir.

Mamba 2FA kimlik avı kitinin mimarisi (Kaynak – Sekoia)

Sekoia raporuna göre, HTML ekleri özellikle karmaşıktır ve mağdurları kimlik avı sayfalarına yönlendiren, zararsız içeriği gizlemek için ‘CSS’ kullanan, tespitini daha da zorlaştıran karmaşık ‘JavaScript kodu’ içerir.

Hizmet, Kasım 2023’te “ICQ”da ilk ortaya çıkışından “dağıtılmış altyapısı” aracılığıyla “birden fazla kuruluşu” hedef alan mevcut karmaşık biçimine kadar gelişimini gösteren, paylaşılan bir sunucu ve alan adları havuzuna sahiptir.

Mamba 2FA kimlik avı platformu aşağıdaki yetenekleri sunar: –

  • Kimlik avına karşı dayanıklı olmayan MFA’yı destekler.
  • Entra ID, AD FS, üçüncü taraf SSO ve Microsoft hesaplarıyla bütünleşir.
  • Kurumsal özel oturum açma markasını dinamik olarak yansıtır.
  • Çalınan kimlik bilgilerini ve çerezleri Telegram botu aracılığıyla anında gönderir.
  • Güvenlik tarama hizmetlerinden erişimi engeller.

Bağlantı alanları, güvenlik araçlarını ve otomatik tarayıcıları filtrelemek için bir “antibot” tespit sistemi kullanan, karmaşık kimlik avı operasyonlarında kullanılan özel web adresleridir.

Bu alanlar potansiyel güvenlik çözümlerini tespit ettiğinde ziyaretçileri otomatik olarak zararsız bir sayfaya yönlendirir (“https://google).[.]com/404”).

Bununla birlikte, düzenli ziyaretçiler için sistem, kritik bileşenleri içeren minimal bir HTML belgesi sunar (“gerçek zamanlı çift yönlü iletişim için bir Socket.IO JavaScript kitaplığı (sürüm 4.7.5),” “HTML niteliklerinde saklanan benzersiz tanımlayıcılar (‘ çift ​​Base64 kodlu müşteri kimliğini içeren sti’ özelliği ve hedef e-postayı depolayan ‘vic’ özelliği)” ve “şablon komut dosyaları (OneDrive için jsdrive.js gibi”, “Microsoft oturum açma için jsnom.js,” jssp. SharePoint için js” ve “sesli posta şablonları için jsv.js”).

Bu şablonlar, kimlik avı sayfasının görünümünü yönetir ve ‘e-posta adresleri’, ‘şifreler’ ve ‘MFA kodları’ gibi kullanıcı girişlerinin belirli olay komutları (‘yeni oturum’, ‘şifre_komutu’, ‘otp_komutu’).

Sistem, sayfa davranışını ve güncellemeleri kontrol etmek için yanıt olaylarını (‘s2c’, ‘s2c_cookies’, ‘s2c_restart’) kullanırken, Microsoft’un “Entra ID sunucularına” yönelik kimlik doğrulama girişimlerinin gerçek kaynağını maskelemek için proxy sunucularını kullanır; bu da saldırı altyapısını daha da karmaşık hale getirir. “esnek” ve takip edilmesi “daha zor”.

Strategies to Protect Websites & APIs from Malware Attack => Free Webinar



Source link