به گزارش پایگاه خبری پایداری ملی به نقل از افتانا، شرکت امنیت سایبری فرانسوی Lexfo اعلام کرد که مهاجمی، یک سرور وب مبتنی بر Python را با قابلیت نمایش فهرست فایلها (Directory Listing) بهصورت عمومی در اینترنت در دسترس قرار داده بود؛ اشتباهی که باعث شد پژوهشگران به مجموعه کاملی از ابزارها، فایلهای پیکربندی و اطلاعات عملیاتی، لاگهای سرقت اطلاعات، نسخههای پشتیبان و حتی سوابق فعالیت او دسترسی پیدا کنند.
بررسی این اطلاعات در نهایت به شناسایی سه کمپین مستقل منجر شد که همگی از نسخههای سفارشیشده ابزار متنباز Evilginx استفاده میکردند.
نخستین کمپین متعلق به مهاجمی مصری با نام مستعار codemado بود که با راهاندازی زیرساخت فیشینگ مبتنی بر حملات «مرد میانی» (AiTM)، توکنهای نشست Microsoft ۳۶۵ را سرقت میکرد. بررسی لاگها نشان داد این کمپین بیش از یک سال فعال بوده و مهاجم با استفاده از توکنهای سرقتشده، دسترسی خود به حسابهای سازمانی را با تمدید مداوم نشستها حفظ میکرد. او همچنین از ابزار اختصاصی MaDoO Blaster برای ارسال انبوه ایمیلهای فیشینگ استفاده میکرد. دومین کمپین به توسعهدهندهای نیجریهای با نام مستعار mail-argenta تعلق داشت که نسخهای سفارشی از Evilginx با نام red-queen را توسعه داده بود. این نسخه با تغییر برخی مکانیزمهای امنیتی مرورگر، بازنویسی آدرسهای اینترنتی برای کاهش احتمال شناسایی، تکمیل خودکار ایمیل قربانی و افزایش اعتبار کوکیهای سرقتشده Microsoft ۳۶۵ تا یک سال، کارایی حملات AiTM را افزایش میداد. پژوهشگران همچنین با بررسی دادههای افشاشده دریافتند این مهاجم از یک رمز عبور تکراری در چندین سرویس استفاده کرده و همین موضوع به شناسایی او کمک کرده است.
سومین کمپین که توسط فردی با نام مستعار saroula۰۱ اداره میشد، از روش متفاوتی استفاده میکرد و بهجای سرقت رمز عبور، قابلیت قانونی OAuth Device Code Flow مایکروسافت را هدف قرار داده بود. در این حمله، قربانی از طریق یک صفحه جعلی به وبسایت واقعی microsoft.com/devicelogin هدایت میشد، احراز هویت و تأیید چندمرحلهای را روی زیرساخت رسمی مایکروسافت انجام میداد و در نتیجه، توکن دسترسی برای مهاجم صادر میشد. به همین دلیل این روش عملاً MFA را دور نمیزند، بلکه از فرآیند قانونی صدور مجوز سوءاستفاده میکند و حتی استفاده از Passkey یا کلیدهای امنیتی FIDO۲ نیز بهتنهایی مانع آن نمیشود. بررسی لاگهای این کمپین نشان داد دستکم ۲۱۸ حساب کاربری در ۱۲ کشور، عمدتاً متعلق به سازمانها، هدف این عملیات قرار گرفتهاند.
Lexfo همچنین شواهدی از استفاده توسعهدهندگان هر سه پروژه از ابزارهای هوش مصنوعی برای تولید بخشی از اسکریپتها و کدهای جانبی پیدا کرد. این شرکت هشدار داد کاهش هزینه و پیچیدگی اجرای چنین حملاتی باعث شده مجرمان سایبری بتوانند با استفاده از ابزارهای متنباز و کمک هوش مصنوعی، کمپینهای پیشرفته فیشینگ را با سرعت بیشتری راهاندازی کنند.
مایکروسافت و کارشناسان امنیت به سازمانها توصیه کردهاند علاوه بر استفاده از روشهای احراز هویت مقاوم در برابر فیشینگ، در صورت امکان قابلیت Device Code Flow را از طریق سیاستهای Conditional Access غیرفعال کرده و از Continuous Access Evaluation (CAE) برای کاهش سوءاستفاده از توکنهای سرقتشده بهره ببرند.