Die Mamba 2FA-Phishing-Plattform zielt bei AiTM-Eingriffen auf Microsoft 365-Konten ab

Bedrohungsakteure nutzen die neu aufkommende Phishing-as-a-Service-Plattform Mamba 2FA, um Microsoft 365-Konten durch Adversary-in-the-Middle-Angriffe zu kompromittieren

Threat actors are now using the Mamba 2FA phishing-as-a-service platform to compromise Microsoft 365 accounts in adversary-in-the-middle (AiTM) attacks, BleepingComputer reports. Mamba 2FA's AiTM attacks against Microsoft 365 accounts are enabled by proxy relays and the Socket.IO JavaScript library, which allows for one-time passcode and authentication cookie access and communications between Microsoft 365 service phishing pages and relay servers, respectively, according to a report from Sekoia. The attackers then use a Telegram bot to enable transmission of stolen credentials and authentication cookies, Sekoia researchers found. They also noted improvements in Mamba 2FA since it was first reported by Any.Run in June. These enhancements include Mamba 2FA's use of IPRoyal proxy servers, regularly rotated phishing URLs, and benign content on HTML attachments to better conceal malicious activity. The findings should prompt organizations to bolster their defenses against AiTM intrusions launched by PhaaS operations by implementing certificate-based authentication, geo-blocking, hardware security keys, device allowlisting, IP allowlisting, and reduced token lifespans.

Laut BleepingComputer nutzen Bedrohungsakteure jetzt die Phishing-as-a-Service-Plattform Mamba 2FA, um Microsoft 365-Konten bei Adversary-in-the-Middle-Angriffen (AiTM) zu kompromittieren. Einem Bericht zufolge werden die AiTM-Angriffe von Mamba 2FA auf Microsoft 365-Konten durch Proxy-Relays und die Socket.IO-JavaScript-Bibliothek ermöglicht, die den einmaligen Zugriff auf Passcodes und Authentifizierungscookies sowie die Kommunikation zwischen Microsoft 365-Dienst-Phishing-Seiten und Relay-Servern ermöglicht von Sekoia. Die Angreifer nutzen dann einen Telegram-Bot, um die Übertragung gestohlener Anmeldeinformationen und Authentifizierungscookies zu ermöglichen, fanden Sekoia-Forscher heraus. Sie stellten auch Verbesserungen bei Mamba 2FA fest, seit Any.Run im Juni erstmals darüber berichtete. Zu diesen Verbesserungen gehören die Verwendung von IPRoyal-Proxyservern durch Mamba 2FA, regelmäßig rotierende Phishing-URLs und harmlose Inhalte in HTML-Anhängen, um bösartige Aktivitäten besser zu verbergen. Die Ergebnisse sollten Unternehmen dazu veranlassen, ihre Abwehrkräfte gegen AiTM-Eingriffe durch PhaaS-Operationen zu verstärken, indem sie zertifikatbasierte Authentifizierung, Geoblocking, Hardware-Sicherheitsschlüssel, Geräte-Zulassungslisten, IP-Zulassungslisten und verkürzte Token-Lebensdauern implementieren.