ÖZET
- Rockstar 2FA Ortaya Çıktı: Trustwave, gelişmiş araçlara sahip Microsoft 365 hesaplarını hedefleyen bir hizmet olarak kimlik avı (PhaaS) platformu olan Rockstar 2FA’yı ortaya çıkarıyor.
- 2FA Baypası: Özellikler arasında 2FA çerez toplama, antibot korumaları ve yasal hizmetleri taklit eden sahte giriş sayfaları bulunur.
- Kimlik Bilgisi Hırsızlığı: Saldırganlar, ortadaki rakip (AiTM) taktikleri yoluyla oturum açma kimlik bilgilerini ve oturum çerezlerini ele geçirir.
- Geniş Etki: Mayıs 2024’ten bu yana 5.000’den fazla kimlik avı alanıyla ve birden fazla sektördeki büyük ölçekli saldırılarla bağlantılı.
- Bilgisayar Korsanları için Erişilebilir: Uygun fiyatlı abonelikler, kimlik avını minimum teknik beceriye sahip saldırganlar için erişilebilir hale getirir.
Trustwave’deki siber güvenlik araştırmacıları, bilgisayar korsanlarının ve komut dosyası çocuklarına iki faktörlü kimlik doğrulamayı (2FA) atlayıp Microsoft 365 hesaplarına yetkisiz erişim elde etmelerine yardımcı olmak için tasarlanmış bir hizmet olarak kimlik avı platformu olan “Rockstar 2FA”yı keşfetti.
Bu platform, birden fazla sektör ve bölgedeki kullanıcıları hedef alan ve Microsoft 365 kimlik bilgilerinin masum kurbanlardan çalınmasında başarılı olan büyük ölçekli ortadaki rakip (AiTM) saldırılarındaki artışla halihazırda ilişkilendirilmiştir.
Rockstar 2FA Nasıl Çalışır?
Rockstar 2FA, Aralık 2023’te ABD’nin büyük okul bölgelerine yapılan saldırılar da dahil olmak üzere, 2023’teki en küresel kimlik avı kampanyalarından bazılarının arkasında yer alan DadSec/Phoenix kimlik avı kitinin yükseltilmiş bir sürümüdür.
Platformun özellikleri arasında 2FA bypass, 2FA çerez toplama, antibot koruması, popüler hizmetleri taklit eden giriş sayfası temaları, tamamen tespit edilemeyen (FUD) bağlantılar ve Telegram bot entegrasyonu yer alıyor.
Rockstar 2FA ayrıca müşterilerin kimlik avı kampanyalarının durumunu takip etmelerine, URL’ler ve ekler oluşturmalarına ve kişiselleştirilmiş temalar oluşturmalarına olanak tanıyan kullanıcı dostu bir yönetici paneli de sağlar. Platform, iki haftalık abonelik için 200 dolardan başlayan fiyatlarla abonelik hizmeti olarak sunuluyor.
Kimlik Avı Kampanyası
Rockstar 2FA ile ilişkili kimlik avı kampanyası, güvenliği ihlal edilmiş hesaplar ve e-posta pazarlama platformları gibi kötüye kullanılan meşru hizmetler de dahil olmak üzere çeşitli e-posta dağıtım mekanizmalarını kullanıyor. E-postalar, mağdurları Microsoft 365’i taklit eden sahte bir giriş sayfasına kimlik bilgilerini girmeleri için kandırmak amacıyla tasarlandı.
En önemlisi, kurban kötü amaçlı bir bağlantıya tıkladığında Cloudflare Turnike mücadelesini sunan bir açılış sayfasına yönlendiriliyor. Bu zorluk, kimlik avı sayfasının otomatik analizini önlemek için tasarlanmıştır ve yalnızca meşru kullanıcıların ilerlemesine izin verir. Kullanıcı bu sınavı geçerse, kendisine taklit edilen markanın oturum açma sayfasına çok benzeyen bir kimlik avı sayfası sunulur.
Kurban kimlik bilgilerini girdikten sonra, AiTM sunucusu bir proxy görevi görerek kimlik doğrulama sürecini tamamlamak için kimlik bilgilerini Microsoft’un meşru hizmetine iletir. Kimlik doğrulama tamamlandıktan sonra sunucu, MFA tarafından korunuyor olsa bile saldırganların kurbanın hesabına doğrudan erişim sağlamak için kullanabileceği oturum çerezini yakalar.
Etki
Trustwave’e göre blog yazısı Pazartesi günü yayınlanmadan önce Hackread.com ile paylaşılan Rockstar 2FA platformu, karmaşık taktikler, teknikler ve prosedürler (TTP’ler) kullanan büyük ölçekli kimlik avı saldırılarına yol açtı.
Platformun 2FA korumalarını atlama yeteneği, hesap ele geçirme, güvenliği ihlal edilmiş hesapları kullanarak kimlik avı kampanyaları başlatma veya iş e-postası güvenliğinin ihlal edilmesi (BEC) saldırıları gerçekleştirme gibi ikincil saldırı olasılığını artırdı.
Dahası, Rockstar 2FA platformu, Mayıs 2024’ten bu yana urlscan.io’da 5.000’den fazla isabetle ilişkilendirildi ve Ağustos 2024’te etkinlikte kayda değer bir artış yaşandı.
“Bu kampanyanın ayırt edici özelliklerinden biri araba temalı web sayfalarının eklenmesidir. Urlscan.io aracılığıyla, Mayıs 2024’ten bu yana bu kampanyayla bağlantılı araba temalı alan adlarının 5.000’den fazla isabetini bulmayı başardık.”
Güven dalgası
Buna göre Krishna VishnubhotlaZimperium Ürün Stratejisinden Sorumlu Başkan Yardımcısı, “Rockstar 2FA gibi PhaaS platformları, özellikle mobil cihazlar aracılığıyla yeni saldırganların giriş maliyetini düşürüyor. Bu platformlar, hazır kimlik avı kitleri sağlayarak, genellikle kimlik avı saldırıları için gerekli olan kapsamlı teknik beceri veya kaynaklara olan ihtiyacı ortadan kaldırıyor.”
Rockstar 2FA’nın giderek artan kullanımı, kimlik avının siber suçlular için nasıl oldukça kazançlı bir taktik haline geldiğini gösteriyor. Güvende kalmak için, bağlantılara tıklamaktan veya bilinmeyen e-postalardan gelen ekleri indirmekten kaçının, oturum açma sayfasına kimlik bilgilerinizi girmeden önce iki kez kontrol edin ve VirusTotal gibi araçları kullanarak bağlantıları ve dosyaları tarayın.
Çalışanlar için, kimlik avı simülasyonu eğitimi Kimlik avı tehditlerini tanımalarına ve bunlara yanıt vermelerine yardımcı olma konusunda temel siber güvenlik eğitiminden çok daha etkilidir.
İLGİLİ KONULAR
- Xiū gǒu Kimlik Avı Kiti Önemli Sektörlerde İngiltere ve ABD’yi Etkiliyor
- V3B Kimlik Avı Kiti, AB Bankacılık Kullanıcılarının Oturum Açma Bilgilerini ve OTP’lerini Çaldı
- BAE’nin .ae Alan Adlarının %99’u Kimlik Avı ve Sahtekarlığa Maruz Kalıyor
- Ethereum cüzdanlarını tüketen zorlu bir kimlik avı saldırısı olan MEWKit ile tanışın
- Rus Hackerlar Geniş Kimlik Avı Saldırılarında Telekopye Araç Kitini Kullanıyor