OKTA’nın tehdit istihbarat güvenliği araştırmacıları, kimlik avı platformunu atlayan ve giriş için teknik engelleri düşüren gelişmiş bir çok faktörlü kimlik doğrulama (MFA) olduğunu söylediklerini keşfetti ve analiz ettiler.
VoidProxy için Yönetici Oturum Açma Sayfası
Voidproxy
Okta, Microsoft ve Google hesaplarını hedefleyen VoidProxy adlı Hizmet Olarak Kimlik Hizmet Olarak PHAAS (PHAAS) platformu, kısa mesajlaşma hizmeti (SMS) kodları ve bir kerelik şifreler (OTP’ler) gibi MFA yöntemlerini atlatabilir.
Voidproxy, meşru sağlayıcılardan, ancak tehlikeye atılan hesaplardan gönderilen e -postalarla ortada (AITM) kimlik avında düşman kullanır.
Kimlik avı siteleri, .icu, .sbs, .cfd, .xyz, .top ve .Home gibi düşük maliyetli üst düzey alanlarda barındırılmaktadır.
Hedeflenen mağdur Microsoft ve Google Giriş Portallarının kopyasına girmeden önce birden fazla yönlendirme gibi kaçınma teknikleri kullanılır; VoidProxy, Cloudflare Captcha’yı kullanır, sadece insan kullanıcılarının otomatik tarayıcılar yerine kimlik avı saldırısı akışını tıklamasını sağlamak için.
Phaas kiti ayrıca, başka bir katmanın altındaki voidproxy altyapısını daha da gizlemek için Cloudflare’nin hafif programlanabilir proxy uç noktalarını, işçilerini kullanacak şekilde kurulmuştur.
Gelen trafiği denetlemek için Cloudflare çalışanlarını kullanmak, güvenlik analistlerinin gerçek kimlik avı sitesine geçmesini zorlaştırır ve Voidproxy kiti şüpheli kalıpları algılarsa onları dinamik olarak engeller.
Bir kullanıcı kimlik bilgilerini tedarik etmek için kandırıldıktan sonra, federe edilmiş ve tek oturum açma (SSO) kullanacak şekilde ayarlanmış kullanıcılar, Secod-Stage açılış sayfalarına yönlendirilirken, voidProxy doğrudan Microsoft ve Google sunucularına gönderilmez.
Saldırının son aşamasında, voidproxy saldırısını dağıtan PHAAS bağlı kuruluşu, kullanıcılar meşru hizmetlerle kimlik doğrulaması yaptıktan sonra dinamik alan adı hizmetleri (DNS) ile geçici altyapı yoluyla çalışan bir AITM ters proxy aracılığıyla oturum çerezlerini çalıyor.
VoidProxy, PHAAS kullanıcıları için bir yönetim paneline sahiptir ve kimlik avı kampanya çabaları hakkında ayrıntılı bilgi sağlar.
Okta Tehdit İstihbarat Başkan Yardımcısı Brett Winterford, “Bu… kimlik avı altyapısı hem MFA bypass yetenekleri hem de analizden şimdiye kadar gizlenme şekli açısından oldukça gelişmiş” dedi.
Okta, Passkeys ve Donanım Güvenlik Anahtarları gibi kimlik avına dirençli kimlik doğrulamacılarının yanı sıra akıllı kartların, kullanıcılar tarafından paylaşım paylaşımını durdurduğunu veya voidproxy altyapısı aracılığıyla oturum açtığını söyledi.
Kimlik yönetimi satıcısı ayrıca erişim kısıtlamaları önerdi ve kullanıcıları, şüpheli e -postaları, kimlik avı sitelerini ve saldırganlar tarafından ortak sosyal mühendislik taktiklerini tanımalarını ve bunları bildirmeyi kolaylaştırmak için eğitmeyi önerdi.
2022’den itibaren grafik kullanıcı arayüzüne sahip EvilProxy kiti ve bu yıl keşfedilen daha yeni Salty2FA PHAAS platformu gibi son birkaç yıldır çoklu MFA kimlik avlama platformları ortaya çıktı.