Witold Kepinski - 10 oktober 2024

Mamba 2FA: Een nieuwe dreiging voor Microsoft 365 accounts

Mamba 2FA is een nieuwe dreiging voor Microsoft 365-accounts. Ineen blog beschrijft cybersecurity specialist Peter Lahousse (foto) hoe je je kunt beschermen tegen dit gevaar.

Mamba 2FA: Een nieuwe dreiging voor Microsoft 365 accounts image

Cybercrime blijft zich snel ontwikkelen en cybercriminelen passen voortdurend hun strategieën aan om traditionele beveiligingsmaatregelen te omzeilen. Een van de nieuwste dreigingen die op de radar van beveiligingsprofessionals is verschenen, is het phishing-as-a-service platform Mamba 2FA. Recent ontving Cybercrimeinfo een tip over de inzet van deze technologie bij verschillende Nederlandse instanties, waaronder de politie, de gemeente Den Haag en jeugdzorg in Brabant. Mamba 2FA stelt aanvallers in staat tweefactorauthenticatie (2FA) te omzeilen en vormt daarmee een serieuze bedreiging voor de beveiliging van gevoelige informatie, met name bij organisaties die gebruik maken van Microsoft 365. Dit artikel geeft een overzicht van wat Mamba 2FA precies is, hoe het werkt, en wat bedrijven kunnen doen om zich hiertegen te beschermen.

Wat is Mamba 2FA?

Mamba 2FA is een phishing-as-a-service (PhaaS) platform dat specifiek is ontworpen om 2FA-beveiligingsmaatregelen te omzeilen, met als doel toegang te krijgen tot accounts, vaak Microsoft 365-accounts. Dit platform biedt cybercriminelen de mogelijkheid om aanvallen te lanceren zonder zelf complexe tools te hoeven ontwikkelen, door simpelweg een abonnement af te sluiten. Voor slechts $250 per maand krijgen aanvallers toegang tot kant-en-klare phishing-sjablonen en infrastructuur waarmee zij gericht inloggegevens en 2FA-tokens kunnen stelen van nietsvermoedende gebruikers.

Een belangrijk onderscheidend kenmerk van Mamba 2FA is dat het werkt volgens het Adversary-in-the-Middle (AiTM)-principe. Deze techniek stelt cybercriminelen in staat om in realtime inloggegevens en tokens op te vangen wanneer een gebruiker deze invoert op een nagemaakte inlogpagina. Door gebruik te maken van proxyservers en frequent wisselende domeinnamen, weten de criminelen detectie door beveiligingssystemen te omzeilen.

Het gevaar van AiTM-aanvallen

AiTM-aanvallen zijn bijzonder gevaarlijk omdat ze een van de belangrijkste beveiligingslagen van tegenwoordig omzeilen: tweefactorauthenticatie. In een typische 2FA-instelling moet de gebruiker na het invoeren van hun wachtwoord een extra stap zetten, bijvoorbeeld door een code in te voeren die naar hun mobiele apparaat is gestuurd. Dit maakt het voor aanvallers veel moeilijker om alleen met een wachtwoord toegang te krijgen.

Met een AiTM-aanval, zoals die wordt gefaciliteerd door Mamba 2FA, wordt de volledige inlogsessie van het slachtoffer naar de aanvaller omgeleid. Hierdoor kan de aanvaller zowel het wachtwoord als de 2FA-token onderscheppen en deze direct gebruiken om in te loggen, alsof de gebruiker dat zelf doet. De sessie wordt opgezet op de computer van de aanvaller, waardoor de validiteit van de sessie behouden blijft, zelfs na het inloggen via de 2FA-token.

Hoe werkt een Mamba 2FA-aanval?

Een Mamba 2FA-aanval begint met een phishingcampagne, waarbij gebruikers worden verleid om te klikken op een nagemaakte inlogpagina die bijna niet van echt te onderscheiden is. Deze phishingpagina’s kunnen als HTML-bijlagen in e-mails worden verstuurd of via een schadelijke link worden verspreid. De nagemaakte pagina bootst vaak de Microsoft 365-inlogpagina na, en kan specifieke services zoals OneDrive of SharePoint imiteren.

Het gevaarlijke aan Mamba 2FA is dat het niet alleen het wachtwoord van het slachtoffer steelt, maar ook de 2FA-token onderschept die door de gebruiker wordt gegenereerd. Hierdoor kunnen cybercriminelen toegang krijgen tot het account, zonder dat het beveiligingssysteem van Microsoft 365 een ongebruikelijke activiteit detecteert. Dit komt omdat de 2FA-token wordt gegenereerd op de computer van de aanvaller en vervolgens in realtime wordt gebruikt om de inlogsessie voort te zetten. Dit omzeilt maatregelen zoals conditional access, waarbij de toegang afhankelijk is van de locatie of het apparaat waarmee wordt ingelogd.

In een recente tip werd benadrukt dat instanties zoals de politie, gemeente Den Haag en jeugdzorg in Brabant al geconfronteerd zijn met dit soort aanvallen. Mamba 2FA lijkt de opvolger te zijn van een eerdere phishingkit genaamd Golang Muraena, die ook gericht was op het omzeilen van 2FA, maar op een minder geavanceerde manier.

Wat maakt Mamba 2FA uniek?

Wat Mamba 2FA onderscheidt van andere phishingkits, zoals Golang Muraena, is de manier waarop het 2FA op de computer van de aanvaller genereert en niet op die van het slachtoffer. Dit maakt de aanval bijzonder effectief, omdat de gegenereerde sessietoken blijft bestaan en geldig blijft gedurende de sessie. Traditionele beveiligingsmaatregelen die afhankelijk zijn van de locatie, het apparaat of de identiteit van de gebruiker, zoals conditional access, kunnen hierdoor niet adequaat reageren.

Daarnaast biedt Mamba 2FA zijn gebruikers verschillende phishing-sjablonen aan, die specifiek zijn afgestemd op diensten als OneDrive, SharePoint, en Microsoft 365. De infrastructuur die de phishingpagina’s ondersteunt, wordt regelmatig aangepast en is moeilijk te detecteren door beveiligingssystemen. Dit komt onder andere door het gebruik van proxyservers en frequent roterende domeinnamen. Bovendien worden de gestolen gegevens, zoals wachtwoorden en tokens, direct via Telegram naar de aanvallers gestuurd, waardoor de aanval snel en effectief kan worden uitgevoerd.

De technische kenmerken van Mamba 2FA

Mamba 2FA maakt gebruik van geavanceerde technieken om zijn phishingaanvallen te ondersteunen. Hieronder volgen enkele van de belangrijkste technische kenmerken:

  1. HTML-bijlagen: De phishingaanval begint vaak met een HTML-bijlage die naar het slachtoffer wordt gestuurd. Deze bijlage bevat een verborgen JavaScript-code die de gebruiker omleidt naar de phishingpagina zodra het bestand wordt geopend.
  2. Websockets en de Socket.IO-bibliotheek: De phishingpagina's communiceren via websockets met een backendserver, die de inlogsessie van het slachtoffer in realtime overneemt. Dit zorgt ervoor dat de aanvaller de volledige inlogsessie kan monitoren en manipuleren.
  3. Base64-gecodeerde URL's: De phishingpagina's gebruiken Base64-gecodeerde parameters in de URL om de inlogpagina aan te passen aan het doelwit. Dit maakt het moeilijker voor beveiligingssystemen om de phishingaanval te detecteren.
  4. Adversary-in-the-Middle-functionaliteit: Mamba 2FA gebruikt relayservers om de inloggegevens en tokens van het slachtoffer te onderscheppen en deze direct door te sturen naar de Microsoft-authenticatieservers. Hierdoor wordt de aanvaller gezien als een legitieme gebruiker.

Hoe kun je jezelf beschermen tegen Mamba 2FA?

Hoewel Mamba 2FA een geavanceerde dreiging is, zijn er nog steeds maatregelen die bedrijven en organisaties kunnen nemen om zich hiertegen te beschermen:

  • Gebruik van hardwarebeveiligingssleutels: Hardwarebeveiligingssleutels, zoals YubiKeys, maken gebruik van phishing-resistente authenticatie. In tegenstelling tot traditionele 2FA-methoden zijn deze sleutels veel moeilijker te omzeilen door AiTM-aanvallen.
  • IP-toegangslijsten: Door toegang te beperken tot vooraf goedgekeurde IP-adressen, kunnen bedrijven voorkomen dat aanvallers vanuit onbekende of verdachte locaties inloggen op hun systemen.
  • Token-levensduur beperken: Door de tijdsduur waarin een 2FA-token geldig is te verkorten, wordt het moeilijker voor een aanvaller om lange tijd toegang te hebben tot een account.
  • Multi-factor authenticatie (MFA): Schakel MFA in op alle accounts en gebruik, waar mogelijk, beveiligingssleutels in plaats van SMS of app-gebaseerde authenticatie.
  • Bewustzijnstraining: Regelmatige trainingen voor medewerkers over de nieuwste phishingtechnieken en hoe zij verdachte e-mails kunnen herkennen, is cruciaal om aanvallen als Mamba 2FA te voorkomen.

Conclusie

Mamba 2FA vertegenwoordigt een belangrijke evolutie in phishing-aanvallen en vormt een serieuze bedreiging voor organisaties die vertrouwen op 2FA om hun accounts te beschermen. Door gebruik te maken van geavanceerde technieken, zoals Adversary-in-the-Middle-aanvallen, weten cybercriminelen met behulp van dit platform zowel inloggegevens als 2FA-tokens te onderscheppen. Organisaties moeten hun beveiligingsmaatregelen aanpassen om de impact van dergelijke aanvallen te beperken. Hardwarebeveiligingssleutels, conditional access-beleid, en een sterk bewustzijn binnen het personeel zijn essentiële maatregelen om de dreiging van Mamba 2FA te kunnen weerstaan.

Begrippenlijst:

  • Mamba 2FA: Een phishing-as-a-service platform dat specifiek gericht is op het omzeilen van tweefactorauthenticatie (2FA) door gebruik te maken van adversary-in-the-middle-aanvallen.
  • Phishing-as-a-Service (PhaaS): Een model waarbij phishingtools worden aangeboden als een dienst die door cybercriminelen kan worden gebruikt tegen betaling.
  • Adversary-in-the-Middle (AiTM): Een aanvalstechniek waarbij een aanvaller zich tussen een gebruiker en een dienst plaatst om inloggegevens en tokens te onderscheppen. Meer info
  • Conditional Access: Een beveiligingsmaatregel die de toegang tot een systeem beperkt op basis van specifieke voorwaarden, zoals het IP-adres of het apparaat van de gebruiker.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Bron: Anoniem, sekoia

Lees meer hier en luister naar de podcast.

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW