Mamba 2FA
2024 május végén a Sekoia TDR csapata egy partnertől kapott egy betekintést egy folyamatban lévő adathalász kampányba, amely a Microsoft 365 bejelentkezési oldalakat utánzó HTML csatolmányokat használt. Az adathalász oldalak képesek voltak a többfaktoros hitelesítés (MFA) néhány módszerét továbbítani, és a Socket.IO JavaScript könyvtárat használták a websocketeken keresztül történő kommunikációra egy háttértár kiszolgálóval. Elsőre ezek a jellemzők a Tycoon 2FA phishing-as-a-service platformnak tűnnek, de a további vizsgálat során kiderült, hogy a kampány egy korábban ismeretlen adversary-in-the-middle (AiTM) adathalász készletet használt, amelyet a Sekoia Mamba 2FA néven követ nyomon.
A TDR rávilágított az adathalászoldalaknak otthont adó infrastruktúrára, és észlelési szabályokat dolgozott ki az Entra ID-fiókok azonosítására, amelyeket ezzel a készlettel kompromittáltak. A retro-hunting feltárta, hogy a Sekoia XDR több ügyfelét is megcélozták a Mamba 2FA-t kihasználó kampányok az előző hónapokban, ami széles körű fenyegetésre utal. Végül a vizsgálat során megállapították, hogy a készletet adathalász szolgáltatásként (PhaaS) értékesítették.
2024. június 26-án az ANY.RUN közzétett egy elemzést egy olyan adathalász kampányról, amely megfelelt a Mamba 2FA jellemzőinek és infrastruktúrájának. Azóta, és valószínűleg e közzétételre reagálva, az adathalász-készlet és a kapcsolódó infrastruktúra több jelentős változáson ment keresztül.
