Mamba 2FA adı verilen yeni ortaya çıkan bir hizmet olarak kimlik avı (PhaaS) platformunun, iyi hazırlanmış oturum açma sayfalarını kullanarak AiTM saldırılarında Microsoft 365 hesaplarını hedef aldığı gözlemlendi.
Ek olarak Mamba 2FA, tehdit aktörlerine kurbanın kimlik doğrulama jetonlarını yakalamak ve hesaplarındaki çok faktörlü kimlik doğrulama (MFA) korumalarını atlamak için bir ortadaki rakip (AiTM) mekanizması sunuyor.
Mamba 2FA şu anda siber suçlulara ayda 250 ABD dolarına satılıyor; bu da onu alandaki en çekici ve en hızlı büyüyen kimlik avı platformları arasında konumlandıran rekabetçi bir fiyat.
Keşif ve evrim
Mamba 2FA, ilk olarak Any.Run analistleri tarafından Haziran 2024’ün sonlarında belgelendi, ancak Sekoia, Mayıs 2024’ten bu yana kimlik avı platformuyla bağlantılı etkinlikleri takip ettiğini bildirdi.
Ek kanıtlar, Mamba 2FA’nın Kasım 2023’ten bu yana kimlik avı kampanyalarını desteklediğini, kitin ICQ’da ve daha sonra Telegram’da satıldığını gösteriyor.
Any.Run’un Mamba 2FA tarafından desteklenen bir kampanyaya ilişkin raporunun ardından, kimlik avı kitinin operatörleri, kimlik avı kampanyalarının gizliliğini ve uzun ömürlülüğünü artırmak için altyapılarında ve yöntemlerinde çeşitli değişiklikler yaptı.
Örneğin, Ekim ayından itibaren Mamba 2FA, kimlik doğrulama günlüklerindeki geçiş sunucularının IP adreslerini maskelemek için ticari bir sağlayıcı olan IPRoyal’den alınan proxy sunucularını kullanıma sundu.
Daha önce aktarma sunucuları doğrudan Microsoft Entra ID sunucularına bağlanarak IP adreslerini açığa çıkarıyor ve engellemeleri kolaylaştırıyordu.
Kimlik avı URL’lerinde kullanılan bağlantı alanları artık çok kısa ömürlüdür ve güvenlik çözümleri tarafından engellenenler listesine alınmasını önlemek için genellikle haftalık olarak dönüşümlü olarak kullanılır.
Diğer bir değişiklik ise, kimlik avı kampanyalarında kullanılan HTML eklerinin, saldırıyı tetikleyen küçük bir JavaScript parçacığını gizlemek için iyi huylu dolgu içeriğiyle geliştirilmesi ve güvenlik araçlarının tespitini zorlaştırmasıydı.
Microsoft 365 kullanıcılarını “Isırmak”
Mamba 2FA, kurumsal ve tüketici hesapları da dahil olmak üzere Microsoft 365 hizmetlerinin kullanıcılarını hedeflemek için özel olarak tasarlanmıştır.
Diğer benzer PhaaS platformları gibi, AiTM kimlik avı saldırıları gerçekleştirmek için proxy geçişlerini kullanarak tehdit aktörlerinin tek kullanımlık şifrelere ve kimlik doğrulama çerezlerine erişmesine olanak tanır.
AiTM mekanizması, kimlik avı sayfası ile arka uçtaki aktarma sunucuları arasında iletişim kurmak için Socket.IO JavaScript kitaplığını kullanır; bu sunucular da çalınan verileri kullanarak Microsoft’un sunucularıyla iletişim kurar.
Kaynak: Sekoia
Mamba 2FA, OneDrive, SharePoint Online, genel Microsoft oturum açma sayfaları ve Microsoft oturum açma sayfasına yönlendiren sahte sesli posta bildirimleri dahil olmak üzere çeşitli Microsoft 365 hizmetleri için kimlik avı şablonları sunar.
Kurumsal hesaplar için kimlik avı sayfaları, hedeflenen kuruluşun logolar ve arka plan resimleri de dahil olmak üzere özel oturum açma markasını dinamik olarak üstlenerek girişimin daha özgün görünmesini sağlar.
Kaynak: Sekoia
Yakalanan kimlik bilgileri ve kimlik doğrulama çerezleri, saldırgana bir Telegram botu aracılığıyla iletilerek, saldırganın hemen bir oturum başlatmasına olanak sağlar.
Mamba 2FA ayrıca, analiz altında olduğu anlaşıldığında kullanıcıları Google 404 web sayfalarına yönlendiren korumalı alan algılama özelliğine de sahiptir.
Genel olarak Mamba 2FA platformu, düşük vasıflı aktörlerin son derece etkili kimlik avı saldırıları gerçekleştirmesine olanak tanıyan kuruluşlar için bir başka tehdittir.
AiTM taktiklerini kullanan PhaaS işlemlerine karşı koruma sağlamak için donanım güvenlik anahtarlarını, sertifika tabanlı kimlik doğrulamayı, coğrafi engellemeyi, IP izin verilenler listesine eklemeyi, cihaz izin verilenler listesine eklemeyi ve belirteç ömrünü kısaltmayı kullanmayı düşünün.