Mamba 2FA 피싱 플랫폼, AiTM 침입으로 Microsoft 365 계정 표적으로 삼아

위협 행위자들은 새로 등장한 Mamba 2FA 서비스형 피싱 플랫폼을 사용하여 중간자 침입으로 Microsoft 365 계정을 손상시켰습니다.

Threat actors are now using the Mamba 2FA phishing-as-a-service platform to compromise Microsoft 365 accounts in adversary-in-the-middle (AiTM) attacks, BleepingComputer reports. Mamba 2FA's AiTM attacks against Microsoft 365 accounts are enabled by proxy relays and the Socket.IO JavaScript library, which allows for one-time passcode and authentication cookie access and communications between Microsoft 365 service phishing pages and relay servers, respectively, according to a report from Sekoia. The attackers then use a Telegram bot to enable transmission of stolen credentials and authentication cookies, Sekoia researchers found. They also noted improvements in Mamba 2FA since it was first reported by Any.Run in June. These enhancements include Mamba 2FA's use of IPRoyal proxy servers, regularly rotated phishing URLs, and benign content on HTML attachments to better conceal malicious activity. The findings should prompt organizations to bolster their defenses against AiTM intrusions launched by PhaaS operations by implementing certificate-based authentication, geo-blocking, hardware security keys, device allowlisting, IP allowlisting, and reduced token lifespans.

위협 행위자들은 현재 Mamba 2FA 서비스형 피싱 플랫폼을 사용하여 AiTM(Adversary-In-the-Middle) 공격으로 Microsoft 365 계정을 손상시키고 있다고 BleepingComputer가 보고했습니다. 보고서에 따르면 Microsoft 365 계정에 대한 Mamba 2FA의 AiTM 공격은 프록시 릴레이와 Socket.IO JavaScript 라이브러리를 통해 활성화됩니다. 이를 통해 일회용 암호 및 인증 쿠키 액세스가 가능하고 Microsoft 365 서비스 피싱 페이지와 릴레이 서버 간의 통신이 각각 가능해집니다. 세코이아 출신. 그런 다음 공격자는 텔레그램 봇을 사용하여 훔친 자격 증명과 인증 쿠키를 전송할 수 있는 것으로 Sekoia 연구원이 밝혔습니다. 그들은 또한 6월 Any.Run에서 처음 보고한 이후 Mamba 2FA의 개선 사항을 언급했습니다. 이러한 개선 사항에는 Mamba 2FA의 IPRoyal 프록시 서버 사용, 정기적으로 순환되는 피싱 URL, 악성 활동을 더 효과적으로 숨기기 위한 HTML 첨부 파일의 무해한 콘텐츠 등이 포함됩니다. 조사 결과에 따르면 조직은 인증서 기반 인증, 지역 차단, 하드웨어 보안 키, 장치 허용 목록, IP 허용 목록 및 토큰 수명 단축을 구현하여 PhaaS 운영으로 인해 발생하는 AiTM 침입에 대한 방어를 강화해야 합니다.