Tycoon 2FA: Η Νέα Απειλή στον Κόσμο της Κυβερνοασφάλειας

Από την εμφάνισή του τον Αύγουστο του 2023, το κιτ phishing γνωστό ως Tycoon 2FA έχει προκαλέσει ανησυχία στην κοινότητα της κυβερνοασφάλειας. Αυτή η απίστευτα επικίνδυνη πλατφόρμα, η οποία λειτουργεί ως Phishing-as-a-Service (PhaaS), επιτρέπει στους εγκληματίες του κυβερνοχώρου να νοικιάσουν τη δυνατότητά της χωρίς τη δυσκολία της ανάπτυξης από το μηδέν.

Η Λειτουργία του Tycoon 2FA

Ο κύριος στόχος του Tycoon 2FA είναι να κλέψει έγκυρα tokens περιόδου λειτουργίας από λογαριασμούς Microsoft 365 και Google Workspace, παρεμβαίνοντας μεταξύ του θύματος και της πραγματικής σελίδας σύνδεσης. Η διαφορά σε σχέση με παραδοσιακά phishing kits είναι η ικανότητά του να παρακάμπτει πλήρως τους ελέγχους ταυτότητας πολλαπλών παραγόντων (MFA). Στην κορυφή της ιστορίας του, το κιτ τροφοδότησε περίπου το 62% των προσπάθειών phishing που μπλοκαρίστηκαν από τη Microsoft, με μηνιαία επίθεση σε πάνω από 500.000 οργανισμούς.

Αναγνώριση και Εντοπισμός

Η ομάδα πληροφοριών απειλών της Microsoft έχει εντοπίσει αυτήν την απειλή με τον κωδικό Storm-1747. Το Tycoon 2FA είναι τώρα το πιο παρακολουθούμενο κακόβουλο λογισμικό από την πλατφόρμα παρακολούθησης ANY.RUN. Οι αναλυτές του Elastic Security Labs αποκάλυψαν τους μηχανισμούς που διέπουν αυτό το κιτ και τη λειτουργία του και σε περιβάλλοντα Microsoft Entra ID και Google Workspace.

Σύμφωνα με μια αναφορά από την Elastic, το Tycoon 2FA χρησιμοποιεί δύο δομές επίθεσης: την αναμετάδοση συνεδρίας μέσω WebSocket και την κατάχρηση χορήγησης κωδικό συσκευής για να στοχεύσει διαφορετικές πλατφόρμες ταυτότητας στον κυβερνοχώρο. Αυτή η παραλλαγή ενσωματώνεται όλο και περισσότερο στο σύγχρονο τοπίο των phishing επιθέσεων.

Ανθεκτικότητα και Επιμονή

Μια συντονισμένη κατάργηση τον Μάρτιο του 2023, με τη συμμετοχή της Microsoft και της Europol, κατέσχεσε πάνω από 300 τομείς, αλλά δεν κατάφερε να σταματήσει την εκστρατεία για πολύ. Οι χειριστές του κιτ βρήκαν τρόπους να επιστρέψουν σχεδόν άμεσα, προσαρμόζοντας την υποδομή τους και καινοτομώντας τεχνικές.

Η ανθεκτικότητα αυτού του κιτ είναι ενδεικτική της επαγγελματικής προσέγγισης της ομάδας που το υποστηρίζει. Η Elastic Security Labs αναφέρει ότι οι επιθέσεις ξεκινούν με emails phishing που περιέχουν συνδέσμους ή QR codes, προγραμματισμένα να προκαλέσουν ανησυχία και να οδηγούν σε διπλές ανακατευθύνσεις προτού φτάσουν σε πλατφόρμες που φαίνονται αυθεντικές.

Η Διαδικασία της Επίθεσης

Το Tycoon 2FA δεν επιτίθεται με τον παραδοσιακό τρόπο της κλοπής διαπιστευτηρίων. Λειτουργεί ως αντίστροφος server, παρεμβαίνοντας ζωντανά μεταξύ του θύματος και της πραγματικής σελίδας σύνδεσης. Με την ολοκλήρωση της διαδικασίας MFA από το θύμα, το κιτ καταγράφει το cookie της συνεδρίας και το αποστέλλει στον επιτιθέμενο, επιτρέποντάς του να αποκτήσει πρόσβαση χωρίς άλλες προειδοποιήσεις.

Υπερπηδώντας τους Ελέγχους

Η ανθεκτικότητα του Tycoon 2FA επιτρέπει στους επιθέτες να επιβιώσουν από τις προσπάθειες ανίχνευσης των αρχών. Η δημοφιλής στρατηγική “ανάκλησης συνεδριών και επαναφοράς κωδικού πρόσβασης” δεν αρκεί για να αποτρέψει έναν συμβιβασμό που περιλαμβάνει αυτό το κιτ. Το Tycoon 2FA χρησιμοποιεί ακόμα και εξελιγμένες μεθόδους για να αποφεύγει την ανίχνευση των εργαλειοθηκών ασφαλείας.

Προτεινόμενες Αμυντικές Στρατηγικές

Για την καταπολέμηση του Tycoon 2FA, οι ειδικοί της Elastic προτείνουν την εφαρμογή ανθεκτικών στο phishing MFA, όπως τα FIDO2 security keys. Αυτές οι μέθοδοι είναι οι μόνες που δεν εκτίθενται στην κλοπή συνεδρίας. Αξιοσημείωτο είναι ότι οι οργανισμοί θα πρέπει να αναπτύσσουν πολιτικές πρόσβασης υπό όρους και να αποκλείουν τις ροές κωδικών για όλους τους χρήστες εκτός από συγκεκριμένα σενάρια.

Δείκτες Συμβιβασμού (IoCs)

Ακολουθούν μερικοί από τους δείκτες που καταγράφηκαν από την Elastic Security Labs κατά την ανάλυση του Tycoon 2FA:

Σημείωση: Για την αποφυγή τυχαίας επίλυσης ή υπερσύνδεσης, οι διευθύνσεις IP και οι τομείς έχουν αλλοιωθεί.