Mamba 2FA 漏洞服务对 Microsoft 365 账户的威胁

重点信息

• 威胁组织利用新兴的 Mamba 2FA 漏洞服务平台，针对 Microsoft 365 账户进行攻击。
• 攻击模式为中间人攻击（AiTM），并通过代理中继和 Socket.IO 库实现。
• 攻击者利用 Telegram 机器人传输被盗的凭证和身份验证 cookie。
• 组织应加强防御措施，如实施基于证书的身份验证、地理阻断和硬件安全密钥。

根据 的报道，威胁组织正在利用新出现的 Mamba 2FA 漏洞服务平台，针对 Microsoft 365 账户开展中间人入侵攻击。

Sekoia 的报告显示，Mamba 2FA 对 Microsoft 365 账户的 AiTM 攻击通过代理中继和 Socket.IO JavaScript库实现，这使得攻击者能够访问一次性密码和身份验证 cookie，并在 Microsoft 365 服务钓鱼页面与中继服务器之间进行通讯。攻击者随后利用 Telegram 机器人来传输被盗的凭证和身份验证 cookie。

自从 Any.Run 在 6 月首次报告 Mamba 2FA 以来，Sekoia 研究人员发现其在多个方面进行了改进。这些改进包括 Mamba 2FA 使用 IPRoyal 代理服务器、定期轮换的钓鱼 URL，以及在 HTML附件中的无害内容，以更好地掩护恶意活动。这些发现提示组织在防御由漏洞服务（PhaaS）发起的 AiTM 入侵时应加强安全措施，建议实施以下策略：

对这些新威胁的了解将帮助组织增强其安全防护，降低成为攻击目标的风险。