Mamba 2FA 漏洞服务对 Microsoft 365 账户的威胁
重点信息
威胁组织利用新兴的 Mamba 2FA 漏洞服务平台,针对 Microsoft 365 账户进行攻击。攻击模式为中间人攻击AiTM,并通过代理中继和 SocketIO 库实现。攻击者利用 Telegram 机器人传输被盗的凭证和身份验证 cookie。组织应加强防御措施,如实施基于证书的身份验证、地理阻断和硬件安全密钥。根据 BleepingComputer 的报道,威胁组织正在利用新出现的 Mamba 2FA 漏洞服务平台,针对 Microsoft 365 账户开展中间人入侵攻击。
clash怎么配置Sekoia 的报告显示,Mamba 2FA 对 Microsoft 365 账户的 AiTM 攻击通过代理中继和 SocketIO JavaScript 库实现,这使得攻击者能够访问一次性密码和身份验证 cookie,并在 Microsoft 365 服务钓鱼页面与中继服务器之间进行通讯。攻击者随后利用 Telegram 机器人来传输被盗的凭证和身份验证 cookie。
自从 AnyRun 在 6 月首次报告 Mamba 2FA 以来,Sekoia 研究人员发现其在多个方面进行了改进。这些改进包括 Mamba 2FA 使用 IPRoyal 代理服务器、定期轮换的钓鱼 URL,以及在 HTML 附件中的无害内容,以更好地掩护恶意活动。这些发现提示组织在防御由漏洞服务PhaaS发起的 AiTM 入侵时应加强安全措施,建议实施以下策略:
防御措施说明基于证书的身份验证增加身份验证的安全性地理阻断阻止来自特定地区的访问硬件安全密钥提高物理层面的安全性设备白名单只允许经过认证的设备访问IP 白名单限制可访问系统的 IP 地址缩短令牌生命周期减少被利用的时间窗口对这些新威胁的了解将帮助组织增强其安全防护,降低成为攻击目标的风险。
