Mamba 2FAと呼ばれるフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが、巧妙に作られたログインページを使用したAiTM攻撃でMicrosoft 365アカウントを標的にしていることが確認されている。
さらに、Mamba 2FAは、被害者の認証トークンを取得し、アカウントの多要素認証(MFA)保護をバイパスするための敵対的中間(AiTM)メカニズムを脅威行為者に提供します。
Mamba 2FAは現在、月額250ドルでサイバー犯罪者に販売されているが、これはこの分野で最も魅力的で急成長しているフィッシング・プラットフォームの中に位置づけられる競争力のある価格である。
発見と進化
Mamba 2FAは2024年6月下旬にAny.Runのアナリストによって初めて記録されましたが、Sekoiaは2024年5月からこのフィッシング・プラットフォームに関連する活動を追跡していると報告しています。
追加の証拠によると、Mamba 2FAは2023年11月からフィッシングキャンペーンをサポートしており、キットはICQで販売され、その後Telegramでも販売されました。
Any.RunがMamba 2FAによって支援されたキャンペーンを報告した後、フィッシング・キットの運営者は、フィッシング・キャンペーンのステルス性と持続性を高めるために、インフラと手法にいくつかの変更を加えた。
例えば、10月からMamba 2FAは、認証ログ上の中継サーバーのIPアドレスを隠すために、商用プロバイダーであるIPRoyalから調達したプロキシサーバーを導入した。
以前は、中継サーバーはマイクロソフトのEntra IDサーバーに直接接続していたため、IPアドレスが露呈し、ブロックが容易になっていた。
フィッシング・URLで使用されるリンク・ドメインは、セキュリティ・ソリューションによるブロックリストを回避するため、現在では非常に短命で、通常は毎週ローテーションされている。
もう1つの変更点は、フィッシング・キャンペーンで使用されるHTMLの添付ファイルを良質のフィラー・コンテンツで強化し、攻撃のトリガーとなるJavaScriptの小さなスニペットを隠すことで、セキュリティ・ツールによる検出を難しくしたことだ。
Microsoft 365ユーザーを “噛む”
Mamba 2FAは、企業や消費者アカウントを含むMicrosoft 365サービスのユーザーをターゲットに特別に設計されている。
他の同様のPhaaSプラットフォームと同様に、プロキシリレーを使用してAiTMフィッシング攻撃を行い、脅威行為者がワンタイムパスコードと認証クッキーにアクセスできるようにする。
AiTMのメカニズムはSocket.IO JavaScriptライブラリを使い、フィッシング・ページとバックエンドのリレー・サーバー間の通信を確立する。
Mamba 2FAは、OneDrive、SharePoint Online、一般的なマイクロソフトのサインイン・ページ、マイクロソフトのログイン・ページにリダイレクトする偽のボイスメール通知など、さまざまなマイクロソフト365サービス用のフィッシング・テンプレートを提供している。
企業アカウントの場合、フィッシング・ページはターゲットとなる組織のロゴや背景画像などのカスタム・ログイン・ブランドを動的に想定しており、より本物らしく見えるようになっている。
キャプチャされた認証情報と認証クッキーは、Telegramボットを通じて攻撃者に送信され、すぐにセッションを開始することができる。
Mamba 2FAは、サンドボックス検知機能も備えており、解析中であると判断すると、ユーザーをGoogle 404ウェブページにリダイレクトする。
全体として、Mamba 2FAプラットフォームは、組織に対する新たな脅威であり、スキルの低い行為者が非常に効果的なフィッシング攻撃を行うことを可能にしている。
AiTM戦術を使用するPhaaSオペレーションから保護するためには、ハードウェア・セキュリティ・キー、証明書ベースの認証、ジオ・ブロッキング、IP許可リスト、デバイス許可リスト、トークン寿命短縮の使用を検討すること。
Comments