Microsoft, hizmet olarak kimlik avı (PhaaS) siber suç modelinin bir parçası olarak yayılan ortadaki rakip (AiTM) kimlik avı tekniklerindeki artış konusunda uyarıyor.
AiTM özellikli PhaaS platformlarındaki artışa ek olarak teknoloji devi, PerSwaysion gibi mevcut kimlik avı hizmetlerinin AiTM yeteneklerini de içerdiğini belirtti.
Microsoft Tehdit İstihbaratı ekibi, “PhaaS ekosistemindeki bu gelişme, saldırganların MFA korumalarını geniş ölçekte atlatmaya çalışan yüksek hacimli kimlik avı kampanyaları yürütmesine olanak tanıyor.” söz konusu X’teki (eski adıyla Twitter) bir dizi gönderide.
AiTM yeteneklerine sahip kimlik avı kitleri iki şekilde çalışır; bunlardan biri, istemciye ve yasal web sitesine giden ve gelen trafiği aktarmak ve kullanıcı kimlik bilgilerini, iki faktörlü kimlik doğrulama kodlarını gizlice yakalamak için ters proxy sunucularının (yani kimlik avı sayfasının) kullanılmasıyla ilgilidir. ve oturum çerezleri.
İkinci bir yöntem, senkronize aktarma sunucularını içerir.
Microsoft, “AiTM’de senkronize aktarma sunucuları aracılığıyla, geleneksel kimlik avı saldırılarında olduğu gibi hedefe oturum açma sayfasının bir kopyası veya taklidi sunulur” dedi. “Greatness PhaaS platformunun arkasındaki aktör grubu Storm-1295, diğer saldırganlara senkronize aktarma hizmetleri sunuyor.”
Mükemmellik, ilk olarak Mayıs 2023’te Cisco Talos tarafından, siber suçluların ikna edici tuzak ve oturum açma sayfaları kullanarak Microsoft 365 bulut hizmetinin iş kullanıcılarını hedeflemesine olanak tanıyan bir hizmet olarak belgelendi. En azından 2022 ortasından beri aktif olduğu söyleniyor.
Bu tür saldırıların nihai hedefi, oturum çerezlerini sifonlayarak tehdit aktörlerinin yeniden kimlik doğrulama olmadan ayrıcalıklı sistemlere erişmesine olanak sağlamaktır.
Teknoloji devi, “MFA’yı atlatmak, saldırganları AiTM oturum çerez hırsızlığı tekniklerini geliştirmeye motive eden amaçtır” dedi. “Geleneksel kimlik avı saldırılarının aksine, AiTM için olay müdahale prosedürleri şunları gerektirir: çalınan oturum çerezlerinin iptali“