Három AiTM leleplezése
A Lexfo kutatói egy véletlenül nyilvánosan elérhetővé tett szerveren keresztül három aktív adathalász kampány teljes infrastruktúráját tárták fel. Az internetre nyitva hagyott Python HTTP-szerveren nemcsak phishing oldalak, hanem konfigurációs fájlok, naplók, áldozati adatok és támadói eszközök is elérhetők voltak, így a kutatók részletesen feltérképezhették a műveletek működését.
Az elemzés három, egymástól független, de közös eszközkészletet használó szereplőt azonosított, egy Evilginx-alapú Adversary-in-the-Middle infrastruktúrát üzemeltető operátort, egy Microsoft 365 Device Code Flow technikával MFA-t megkerülő kampányt, valamint egy több szolgáltatást célzó hitelesítőadat-lopó rendszert. Az egyik kampány legalább 218 áldozatot ért el 12 országban, akiknek 94%-a vállalati felhasználó volt.
A kutatás szerint a három operátor nem egyetlen szervezet része, hanem lazán kapcsolódó ökoszisztémát alkot, amely nyílt forráskódú phishing keretrendszerekre, GitHubon elérhető projektekre és kereskedelmi Telegram-csatornákon értékesített eszközökre épül. A kompromittált infrastruktúra kapcsolatot mutatott a The Quarry néven ismert Malware-as-a-Service/Phishing-as-a-Service közösséggel is, amely előre elkészített adathalász készleteket, távoli menedzsmenteszközöket és MFA-megkerülő megoldásokat kínál.
A jelentés szerint a többtényezős hitelesítés önmagában már nem jelent elegendő védelmet, az AiTM proxyk és a Microsoft OAuth Device Code Flow visszaélései képesek érvényes munkamenet-tokeneket megszerezni anélkül, hogy a támadók ismernék a felhasználó jelszavát. A nyílt forrású eszközök és az AI által támogatott fejlesztés jelentősen csökkentette a professzionális adathalász infrastruktúrák kiépítésének technikai küszöbét, ezért a szervezeteknek a hagyományos MFA mellett egyre nagyobb hangsúlyt kell fektetniük a tokenlopás, az OAuth-visszaélések és a rendellenes hitelesítési események felismerésére.