Geleneksel Çok Faktörlü Kimlik Doğrulama ve Microsoft 365 ve Google Hesaplarından Oturum Tokenlerini Çalmak İçin Ortada Gelişmiş Düşman Teknikleri kullanan VoidProxy adlı Hizmet Olarak Kimlik Avı.
SIM-SWAP saldırısının beş adımı, dolandırıcıların hesapları uzatmak için çok faktörlü kimlik doğrulamasının nasıl atlanmasını gösteren
OKTA, kimlik bilgisi hasat saldırılarında önemli bir evrimi temsil eden son derece kaçınılmaz bir Hizmet Platformu olan voidproxy’nin sofistike yeni bir ortaya çıkışını ortaya çıkardı.
Daha önce bildirilmemiş bu hizmet, siber suçlu operasyonların artan sofistike olmasını ve kuruluşların dijital varlıklarını korumak için güvendiği modern güvenlik kontrollerini atlama yeteneklerini göstermektedir.
VoidProxy, tehdit aktörlerinin kurumsal hesaplara karşı sofistike kimlik avı kampanyaları yürütmeleri için teknik engelleri önemli ölçüde düşüren olgun, ölçeklenebilir bir platform olarak çalışır.
Hizmet, gerçek zamanlı olarak kimlik doğrulama akışlarını engellemek için ortadaki düşman teknikleri kullanır, sadece kullanıcı adlarını ve şifreleri değil, aynı zamanda meşru oturum açma işlemleri sırasında oluşturulan çok faktörlü kimlik doğrulama kodlarını ve oturum belirteçlerini yakalar.
Bir MFA Bypass Kimlik Yardım Saldırısı Akışını Gösteren Diyagram Bir hedef, kimlik avı sunucusu, meşru hizmet ve tehdit aktörünü içeren
Bu özellik, voidProxy’nin SMS kodları ve kimlik doğrulayıcı uygulamalarından bir kerelik şifreler dahil olmak üzere birkaç yaygın MFA yöntemini atlamasına izin verir.
Platformun sofistike yaklaşımı, birçok kuruluşun kimlik bilgisi hırsızlığına karşı güvenilir savunma mekanizmalarını düşündüğü geleneksel e -posta güvenliği ve kimlik doğrulama kontrolleri için doğrudan bir zorluk oluşturmaktadır.
Hizmet, hem Microsoft 365 hem de Google hesaplarını hedefler ve OKTA gibi üçüncü taraf tek oturum açma sağlayıcılarının korunan hesapları ikincil kimlik avı sayfalarına yönlendirmek için ek özelliklere sahiptir.
Bu kapsamlı hedefleme yaklaşımı, voidproxy’yi federasyonlu kimlik doğrulama sistemlerini kullanan kuruluşlar için özellikle tehlikeli hale getirir.
Çok katmanlı kaçırma teknikleri
Voidproxy, birden fazla sofistike önleme önlemi ile güvenlik analizinden başarılı bir şekilde kaçmıştır.
Platform, ilk kimlik avı yemleri sunmak için sürekli iletişim, aktif kampanya ve notifyVisitors gibi meşru e -posta hizmet sağlayıcılarından tehlikeye atılmış e -posta hesaplarını kullanır ve bu hizmetlerin spam filtrelerini atlamak için itibarını kullanır.
Cyberx Siber Güvenlik Yönetici Gösterge Tablosu Tehdit İzleme, Varlık Yönetimi ve Koruma Durumunu Gösterge Tablosu
Saldırı altyapısı, TinYURL gibi URL kısaltma hizmetleri ile başlayan birden fazla yönlendirme katmanı kullanır ve ardından .icu, .sbs, .cfd, .xyz, .top ve.
Bu strateji, saldırganların tanımlandıktan ve blok listelendikten sonra alanları hızlı bir şekilde terk etmesine izin verirken operasyonel maliyetleri en aza indirir.
VoidProxy’nin kaçınma stratejisinin kritik bir bileşeni, kimlik avı sitelerini Cloudflare altyapısının arkasına yerleştirmeyi, kötü amaçlı sunucuların gerçek IP adreslerini etkili bir şekilde gizlemeyi ve yayından kaldırma çabalarını güvenlik ekipleri için önemli ölçüde daha zorlaştırmayı içerir.
Microsoft kimlik avı sayfaları için etki alanı modeli: giriş yapmak.Herhangi bir kimlik avı içeriğini yüklemeden önce, kullanıcılar otomatik güvenlik tarayıcılarını meşru hedeflerden filtrelemek için tasarlanmış Cloudflare captcha zorluklarıyla karşılaşır.
Sofistike Saldırı Akışı
Voidproxy platformu, dikkatle düzenlenmiş dört aşamalı bir saldırı sürecini takip eder. İlk teslimat, tehlikeye atılmış meşru e -posta hizmetleri, ardından captcha zorlukları ve bekçi ve cazibe yükleyicileri olarak hareket eden Cloudflare çalışanları da dahil olmak üzere kaçırma mekanizmaları ile gerçekleşir.
Sistem, Microsoft Kimlik avı sayfaları için tutarlı etki alanı modelleri ile “Giriş.[phishing_domain].[tld]”Ve“ hesaplar ”kullanan Google kimlik avı sayfaları.[phishing_domain].[tld]”.
Mağdurlar birincil kimlik bilgilerine girdikten sonra, sistem federasyonlu ve federasyon dışı kullanıcılar arasında farklılaşır.
Federasyon olmayan kullanıcılar, Proxy altyapısı aracılığıyla doğrudan Mecrociat Microsoft ve Google sunucularına yönlendirilirken, federasyonlu kullanıcılar SSO sağlayıcılarıyla servis sağlayıcı tarafından başlatılan akışları taklit eden ek ikinci aşamalı açılış sayfalarıyla karşılaşırlar.
Geçici altyapıda barındırılan çekirdek proxy sunucusu, meşru hizmetlere kimlik doğrulama bilgilerini yakalamak ve aktarmak için ters bir proxy olarak hareket ederek ortada gerçek düşman saldırısını yürütür.
Meşru hizmetler kimlik doğrulamasını doğruladığında ve oturum çerezlerini sorun çıkardığında, voidproxy bu jetonları keser ve bunları hemen hesap erişimi için idari paneller aracılığıyla saldırganlara sunar.
VoidProxy, platformun ticari sofistike olduğunu gösteren tam özellikli bir yönetim arayüzü sunar.
Yönetici paneli, PHAAS müşterilerine hesap düzeyinde gösterge tabloları, ayarlar sayfaları, kampanya yönetimi arayüzleri ve bireysel kampanya izleme panoları dahil olmak üzere kapsamlı kampanya yönetimi özellikleri sağlar.
Kullanıcı kimlik bilgilerini çalmak için e -posta doğrulaması isteyen bir Microsoft 365 kimlik avı sayfası örneği
Platform, çalınan kimlik bilgileri ve oturum belirteçlerine manuel indirmeler veya telgraf bot jetonları ve Webhook URL’leri aracılığıyla gerçek zamanlı bildirimler aracılığıyla erişilmesine izin veren birden fazla veri çıkarma yöntemini destekler.
Bu esneklik, tehdit aktörlerinin voidproxy operasyonlarını mevcut cezai altyapılarıyla entegre etmelerini ve başarılı uzlaşmalara hızlı bir şekilde yanıt vermelerini sağlar.
Öneriler
Kuruluşlar, birkaç önemli savunma önlemi ile voidproxy saldırılarına karşı koruyabilir. En etkili koruma, kimlik avına direnç gereksinimlerini uygulayan politikalarla kullanıcıları Okta Fastpass, FIDO2 WebAuthn (Passkeys ve Güvenlik Anahtarları) ve Akıllı Kartlar gibi kimlik avına dayanıklı kimlik doğrulayıcılarına kaydettirmeyi içerir.
Hassas uygulamalar için erişim kısıtlamaları uygulanmalı, uç nokta yönetim araçları tarafından yönetilen ve uç nokta güvenlik çözümleri tarafından korunan cihazlara erişimi sınırlandırmalıdır.
Kuruluşlar ayrıca nadiren kullanılan ağlardan gelen talepler için daha yüksek güvence gerektirmeli veya daha yüksek güvence gerektirmeli ve yerleşik kullanıcı etkinliği modellerinden sapan erişim isteklerini belirlemelidir.
Şüpheli e -postaları, kimlik avı sitelerini ve yaygın sosyal mühendislik tekniklerini belirlemeye odaklanan eğitim ile kullanıcı eğitimi kritik olmaya devam etmektedir.
Kuruluşlar, çalınan idari oturumların tekrarlanmasını önlemek için idari uygulamalara IP oturumu bağlama uygularken, şüpheli altyapı ile kullanıcı etkileşimlerine gerçek zamanlı olarak yanıt veren otomatik iyileştirme akışlarını uygulamalıdır.
Voidproxy’nin ortaya çıkışı, hizmet olarak kimlik avı operasyonlarının karmaşıklığında önemli bir artışı temsil eder ve siber suçluların taktiklerini modern güvenlik kontrollerini atlamaya nasıl uyarlamaya devam ettiğini gösterir.
Kuruluşlar, bu gelişen tehditlere etkili bir şekilde karşı koymak için teknik kontrolleri kullanıcı eğitimi ile birleştiren kapsamlı, katmanlı savunma stratejileri benimsemelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.