Microsoft 365 kimlik bilgilerini çalmak için büyük ölçekli ortadaki rakip (AiTM) saldırılarını kolaylaştıran ‘Rockstar 2FA’ adlı yeni bir hizmet olarak kimlik avı (PhaaS) platformu ortaya çıktı.
Diğer AiTM platformları gibi Rockstar 2FA da saldırganların, geçerli oturum çerezlerini ele geçirerek hedeflenen hesaplardaki çok faktörlü kimlik doğrulama (MFA) korumalarını atlamasına olanak tanır.
Bu saldırılar, kurbanları Microsoft 365’i taklit eden sahte bir oturum açma sayfasına yönlendirerek ve kimlik bilgilerini girmeleri için kandırarak çalışır.
AiTM sunucusu bir proxy görevi görür, kimlik doğrulama sürecini tamamlamak için bu kimlik bilgilerini Microsoft’un yasal hizmetine iletir ve ardından hedefin tarayıcısına geri gönderildiğinde çerezi yakalar.
Bu çerez daha sonra tehdit aktörleri tarafından, MFA korumalı olsa bile kurbanın hesabına doğrudan erişim sağlamak için kullanılabilir ve tehdit aktörünün kimlik bilgilerine hiç ihtiyacı yoktur.
Kaynak: Trustwave
Rockstar 2FA’nın Yükselişi
Trustwave, Rockstar 2FA’nın aslında 2023’ün başlarında ve sonlarında ilgi gören DadSec ve Phoenix kimlik avı kitlerinin güncellenmiş bir versiyonu olduğunu bildirdi.
Araştırmacılar, Rockstar 2FA’nın Ağustos 2024’ten bu yana siber suç camiasında önemli bir popülerlik kazandığını ve iki hafta boyunca 200 dolara veya API erişiminin yenilenmesi için 180 dolara satıldığını söylüyor.
Kaynak: Trustwave
Hizmet, diğer yerlerin yanı sıra Telegram’da da tanıtılıyor ve aşağıdaki gibi uzun bir özellik listesine sahip:
- Microsoft 365, Hotmail, Godaddy, SSO desteği
- Tespitten kaçınmak için rastgele kaynak kodu ve bağlantılar
- Kurban taraması için Cloudflare Turnike Captcha entegrasyonu
- Otomatik FUD ekleri ve bağlantıları
- Gerçek zamanlı günlükler ve yedekleme seçenekleriyle kullanıcı dostu yönetici paneli
- Otomatik organizasyon markalaması (logo, arka plan) ile çoklu giriş sayfası temaları
Hizmet, Mayıs 2024’ten bu yana 5.000’den fazla kimlik avı alanı kurarak çeşitli kimlik avı operasyonlarını kolaylaştırdı.
Araştırmacılar, gözlemledikleri ilgili kimlik avı kampanyalarının meşru e-posta pazarlama platformlarını kötüye kullandığını veya kötü amaçlı mesajları hedeflere yaymak için hesapların ele geçirildiğini söylüyor.
Mesajlar, belge paylaşım bildirimleri, BT departmanı bildirimleri, parola sıfırlama uyarıları ve bordroyla ilgili mesajlar dahil olmak üzere çeşitli tuzaklar kullanıyor.
Trustwave, bu mesajların QR kodları, meşru kısaltma hizmetlerinden gelen bağlantıların dahil edilmesi ve PDF ekleri dahil olmak üzere bir dizi bloktan kaçınma yöntemini kullandığını söylüyor.
Kaynak: Trustwave
Botları filtrelemek için Cloudflare turnike mücadelesi kullanılırken, saldırı muhtemelen geçerli hedeflerin bir Microsoft 365 oturum açma kimlik avı sayfasına yönlendirilmesinden önce IP kontrollerini de içeriyor.
Kaynak: Turstwave
Ziyaretçinin genel olarak bir bot, güvenlik araştırmacısı veya kapsam dışı bir hedef olduğu düşünülürse, bunun yerine zararsız araba temalı bir tuzak sayfasına yönlendirilir.
Açılış sayfasındaki JavaScript, AiTM sunucusunun ziyaretçiye ilişkin değerlendirmesine göre kimlik avı sayfasının veya araba temalı tuzağın şifresini çözer ve alır.
Kaynak: Trustwave
Rockstar 2FA’nın ortaya çıkışı ve yaygınlaşması, son zamanlarda en büyük PhaaS platformlarından birini çökerten ve operatörlerini tutuklayan önemli kolluk kuvvetleri operasyonlarına rağmen yasa dışı hizmetler sunmaya devam eden kimlik avı operatörlerinin ısrarını yansıtıyor.
Bu ticari araçlar siber suçlular için düşük maliyetle erişilebilir olmaya devam ettiği sürece, büyük ölçekli etkili kimlik avı operasyonlarının riski önemli olmaya devam edecek.