Bilgisayar korsanları, 2FA tarafından sağlanan ek güvenlik katmanını aşmak için 2FA (İki Faktörlü Kimlik Doğrulama) kimlik avı kitlerini kullanır.
Bu kitler genellikle meşru oturum açma sayfalarını taklit eder ve kullanıcılardan, kimlik doğrulama uygulamaları tarafından oluşturulan veya SMS yoluyla gönderilen tek seferlik geçiş kodlarıyla birlikte kimlik bilgilerini de girmelerini ister.
Sekoia analistleri, proaktif tehdit avcılığı sayesinde Ekim 2023'te Tycoon 2FA adı verilen yeni ve yaygın bir Ortadaki Düşman (AiTM) kimlik avı kitini ortaya çıkardı.
Bu Hizmet Olarak Kimlik Avı (PhaaS) platformu, etkili kimlik avı saldırıları gerçekleştirmek için en az Ağustos 2023'ten bu yana birden fazla tehdit aktörü tarafından aktif olarak kullanılıyor.
Sürekli izleme, Ekim 2023 sonu ile Şubat 2024 sonu arasında tanımlanan 1.100'den fazla ilişkili alanla Tycoon 2FA'nın en yaygın AiTM kitlerinden biri olduğunu ortaya çıkardı.
Teknik Analiz
QR kodlarını kullanan kimlik avı Ekim 2023'te arttı. Birçok AiTM kimlik avı sayfası aşağıdaki gibi benzerlikler paylaşıyordu:-
- Gizlemesi kaldırılmış komut dosyaları
- Koruma için CloudFlare Turnikesi
- Belirli CSS kaynakları
- Veri sızdırma için WebSocket
.webp)
Araştırmacılar, urlscan.io'yu kullanarak Ekim 2023'te belirli CSS dosya adlarını arayarak yüzlerce benzer kimlik avı sayfasını tespit etti.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Codecrafterspro'dan kaynaklar alınan sayfalar[.]com merkezi göründü.
Codecrafters gibi diğer ilişkili alanlar[.]su ve devcraftingsolutions[.]com, “Powered by TycoonGroup” oturum açma paneliyle kimlik avı kaynaklarını barındırıyordu.
İş adamı grubu[.]ws alanı, Tycoon'u “en iyi 2FA bypass kimlik avı platformu” olarak tanıtarak bu altyapıyı Tycoon 2FA kimlik avı platformuna bağladı.
.webp)
Araştırmacılar, Tycoon'un kaynak koduna erişim olmadan mağdurlarla yüz yüze gelinen etkileşimleri analiz etti.
Kimlik avı sayfasını barındıran, girişleri meşru hizmete aktaran, MFA'yı yönlendiren ve başarılı MFA'dan sonra oturum çerezlerini yakalayan bir saldırgan sunucusuyla AiTM'yi kullanır.
Çalınan çerezler, kimlik bilgileri değiştirilmiş olsa bile oturumu tekrar oynatarak MFA'nın atlanmasına olanak tanır. Tycoon'un temel operasyonları aşağıda özetlenmiştir.
.webp)
Toplam 7 aşama var ve aşağıda bunlardan bahsettik: –
- Aşama 0 – Kimlik avı sayfalarının yayılması
- 1. Aşama – Cloudflare Turnike mücadelesi
- 2. aşama – E-posta çıkarıcı
- Sahne 3 – Yönlendirme sayfası
- Aşama 4 – Sahte Microsoft kimlik doğrulama giriş sayfası ve yuvaları
- Aşama 5 – 2FA geçişi
- Aşama 6 – Son yönlendirme
Tycoon 2FA kimlik avı kiti, WebSockets üzerinden veri toplayan bir C2 sunucusuyla sahte Microsoft sayfaları aracılığıyla kimlik bilgilerini topluyor.
En son sürüm, yalnızca CloudFlare sorununu çözdükten sonra kötü amaçlı kaynaklar sağlamak, rastgele URL'ler kullanmak ve analizden kaçmak için trafiği filtrelemek gibi gizli taktikler ekledi.
Önceki sürümler temel işlevsellik için karakteristik dosya adlarını kullanırken, yeni değişiklikler izlemeyi daha da zorlaştırıyor.
Ancak Sekoia, gelişen Tycoon 2FA altyapısını izlemeye devam etmek için meşru kaynak adlarını, C2 yanıtı veri boyutunu ve kaynak uzunluklarını ilişkilendiren buluşsal yöntemler buldu.
Tycoon 2FA yaygınlaştı ve geliştirici, son sürümde gizlilik yeteneklerini geliştirdi.
Kullanım kolaylığı ve düşük fiyatıyla tehdit aktörleri arasında popülerlik kazandı.
Sekoia, Ağustos 2023'ten bu yana 1.200'den fazla ilişkili alan adı belirledi ve Tycoon Group operasyonlarının son derece kazançlı olduğuna inanıyor ve Tycoon 2FA'nın 2024'te AiTM kimlik avı pazarında önemli bir tehdit olarak kalmasını bekliyor.
IoC'ler
- 0q5e0.nemen9[.]iletişim
- 25rw2.canweal[.]iletişim
- 35fu2.ouchar[.]ru
- 4343w.jgu0[.]iletişim
- 43rw98nop8.m1p8z[.]iletişim
- 4m2swl.7e2r[.]iletişim
- Siber Güvenlik Tehditleri5me78.methw[.]ru
- 6j312.rchan0[.]iletişim
- 77p3e.rimesh3[.]iletişim
- 8000n.uqin[.]ru
- 8uecv.gnornamb[.]iletişim
- 98q5e.ructin[.]iletişim
- 9c43r.theq0[.]iletişim
- 9oc0y2isa27.demur3[.]iletişim
- beacon.diremsto[.]iletişim
- blog merkezi[.]iletişim
- buneji.fiernmar[.]iletişim
- e85t8.nechsha[.]iletişim
- ex1uo.rhknt[.]ru
- explore.atlester[.]ru
- fig75d.rexj[.]ru
- fisaca.trodeckh[.]iletişim
- galume.aricente[.]iletişim
- gz238.uatimin[.]iletişim
- ufuk.sologerg[.]iletişim
- jp1y36.it2ua[.]iletişim
- k348d.venti71[.]iletişim
- kjlvo.göreceğim[.]iletişim
- kjsdflwe.nitertym[.]ru
- l846d.boil8[.]iletişim
- libudi.oreversa[.]iletişim
- n29k4.ilert[.]ru
- n9zph.lw8opi[.]iletişim
- o6t94g.3tdx2r[.]iletişim
- oo99v.coqqwx[.]ru
- p1v12.17nor[.]iletişim
- pmd8ot6xhw.3qjpc[.]iletişim
- q908q.refec7[.]iletişim
- r298y.sem01[.]iletişim
- rlpq.tk9u[.]iletişim
- rorik.oranfix[.]iletişim
- tlger gözetimi[.]iletişim
- tnyr.moporinler[.]iletişim
- wasogo.shantowd[.]iletişim
- x12y.restrice[.]ru
- xrs.chenebystie[.]iletişim
- xva.tjlpkcia[.]iletişim
- zaqaxu.dthiterp[.]ru
- zekal6.tnjxb[.]iletişim
- zemj4f.ymarir[.]ru
Kripto Para Cüzdanı Adresi
- 19NReVFKJsYYCCFLq1uNKYrUqQE2bB4Jwx, Saad Tycoon Group tarafından kullanılıyor
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.