Эксперты по кибербезопасности предупреждают администраторов предприятий о растущем числе фишинговых кампаний, нацеленных на кражу токенов доступа Microsoft 365 (M365) для обхода защиты входа с многофакторной аутентификацией.
Фишинговые наборы для перехвата токенов M365 не новы; по некоторым данным, они существуют с 2021 года. Один из последних — EvilTokens, который, по данным исследователей Sekoia, циркулирует с февраля. А ранее в этом месяце Microsoft также выпустила предупреждение о других фишинговых схемах типа «adversary-in-the-middle», крадущих токены аутентификации, и отдельно — о кампаниях, использующих уязвимости протокола OAuth для манипулирования перенаправлением URL с целью обхода традиционных фишинговых защит.
Снижение порога входа
Однако, как заявило Федеральное бюро расследований США (ФБР) в предупреждении на прошлой неделе, новая платформа фишинга как услуги Kali365 «снижает порог входа, предоставляя менее технически подкованным злоумышленникам доступ к фишинговым приманкам, сгенерированным ИИ, автоматизированным шаблонам кампаний, панелям отслеживания отдельных лиц/субъектов в реальном времени и возможностям захвата токенов OAuth».
Ее все чаще используют злоумышленники. Например, 24 апреля поставщик решений по безопасности Arctic Wolf сообщил, что обнаружил крупномасштабную фишинговую кампанию с использованием кодов устройств, затронувшую организации, которую проводил злоумышленник с использованием сервиса Kali365. Четыре дня спустя исследователи из Gurucul выпустили аналогичное предупреждение, добавив, что новый набор Kali365 «быстро становится предпочтительным оружием» злоумышленников. Обе платформы, Kali365 и EvilTokens, обманом заставляют сотрудников вводить код на легитимной странице входа Microsoft, что позволяет злоумышленникам красть токены OAuth.
Однако Gurucul предупредил руководителей по безопасности (CSO), что «[Kali365] сигнализирует о сдвиге в сторону высокопрофессионализированных моделей атак». Исследователи отметили: «Это не просто один хакер, работающий изолированно. Это полномасштабная коммерческая операция. Она разработана для снижения порога входа для преступников по всему миру. Предоставляя готовую инфраструктуру для обмана, этот набор ставит изощренные возможности в руки начинающих злоумышленников».
Выйти за рамки МФА как «пункта в списке»
Руководителям по безопасности следует воспринять эти предупреждения как напоминание о том, что уроки по обнаружению фишинга являются неотъемлемой частью обучения осведомленности в области безопасности для всех сотрудников.
Предостережение ФБР «[также] напоминает нам, что многофакторная аутентификация больше не является единственным шагом, который должен присутствовать для защиты», — сказал Роберт Беггс, генеральный директор канадской фирмы по реагированию на инциденты Digital Defence.
«Организации должны выйти за рамки того, чтобы рассматривать это как «пункт в списке», и вместо этого сосредоточиться на подходе эшелонированной защиты. Организации должны блокировать или строго ограничивать поток аутентификации с помощью кода устройства OAuth от Microsoft с использованием условного доступа. Дополнительные меры контроля включают упреждающую отмену токенов OAuth, мониторинг несанкционированных регистраций устройств и мониторинг для обнаружения новых или вредоносных правил для почтовых ящиков».
Профессиональная модель атаки
Сервис Kali365 предоставляет шаблоны, панели управления и интегрированные инструменты, которые снижают требования к навыкам для проведения крупномасштабных атак для злоумышленника, подписавшегося на него. Подписки начинаются от 250 долларов за 30 дней и достигают 2000 долларов за 365 дней.
По данным Arctic Wolf, после регистрации аффилиаты Kali365 могут быстро генерировать брендированные фишинговые приманки, имитирующие распространенные корпоративные сервисы, такие как Adobe Acrobat Sign, DocuSign и SharePoint. Сервис включает модульную систему генерации приманок, которая позволяет злоумышленникам создавать сотни различных вариантов путем смешивания языковой локализации, макета представления, имитации экосистемы Microsoft и нескольких форматов документов на английском, испанском, французском, немецком, португальском, итальянском, голландском, японском, корейском, китайском, арабском, турецком, польском и русском языках.
Беггс отметил, что использование фишинговых приманок, сгенерированных ИИ, при условии, что ИИ был должным образом обучен на бизнесе клиента и снабжен правильными культурными контекстами, приводит к созданию правдоподобно выглядящих документов, которые трудно идентифицировать и заблокировать при крупномасштабной атаке.
Подписчики могут воспользоваться восемью жестко закодированными шаблонами электронной почты с такими темами, как «Голосовое сообщение от [с местом для имени]», «Требуется подпись», «Счет №INV», «Документ предоставлен» и «Уведомление об учетной записи для [с местом для адреса электронной почты]».
Arctic Wolf также сообщил о случаях, когда после получения первоначального доступа злоумышленник создавал вредоносные правила для почтовых ящиков в Microsoft 365, настраивая правила, которые автоматически перемещали электронные письма, содержащие ключевые слова, такие как «спам», «фишинг», «клик», «ссылка» и «SharePoint», в отдельную папку и помечали их как прочитанные. Такое поведение эффективно подавляло уведомления и предупреждения, связанные с безопасностью, для пользователя, позволяя злоумышленнику сохранять доступ, одновременно снижая вероятность обнаружения.
В режиме кода устройства жертвы перенаправляются на обфусцированную целевую страницу, которая разработана для отображения только в реальной сессии браузера. При загрузке страницы бэкэнд Kali365 динамически генерирует легитимный код устройства OAuth от Microsoft.
Согласно ФБР, атака затем работает как многие другие фишинговые схемы: злоумышленник отправляет фишинговое письмо с сообщением, содержащим ссылку на легитимную страницу проверки Microsoft и инструкции по вводу сгенерированного кода. Этот код авторизует устройство злоумышленника для доступа к учетной записи жертвы. Затем бэкэнд Kali365 захватывает токены доступа и обновления OAuth, предоставляя злоумышленнику доступ к учетной записи Microsoft 365 целевого лица/субъекта, включая Outlook, Teams и OneDrive, до тех пор, пока компрометация не будет обнаружена, а токены не будут отозваны. Используя эти токены, злоумышленнику не нужно вводить пароль или проходить какие-либо дополнительные проверки МФА.
В некоторых случаях, добавили в Arctic Wolf, после получения токенов злоумышленник использовал аутентифицированную сессию для регистрации дополнительного устройства в среде Microsoft жертвы. Этот шаг расширил доступ за пределы первоначального токена, установив доверенную связь устройства с скомпрометированной учетной записью.
Смягчение последствий
В своем оповещении ФБР настоятельно призвало администраторов Microsoft 365 ограничить поток кодов устройств, поскольку ограничение или блокировка кодов аутентификации устройств может помочь предотвратить или минимизировать этот тип атак. Им также следует создать политики условного доступа для блокировки потока кодов устройств для всех пользователей, с ограниченными исключениями для необходимых бизнес-процессов; провести аудит существующего использования потока кодов устройств для выявления легитимных зависимостей перед созданием политики условного доступа; и заблокировать политики передачи аутентификации, чтобы предотвратить перенос пользователями аутентификации с компьютеров на мобильные устройства.
Если администратор не может полностью ограничить использование потока кодов устройств, ФБР советует исключить учетные записи аварийного доступа, чтобы избежать блокировок.
Кристофер Кайзер, генеральный директор Cybercrime Analytics и автор книги «Киберпреступность посредством социальной инженерии», заявил, что ИТ-отделам необходимо найти способы донести до сотрудников, что не следует поспешно переходить по ссылкам в необычных или потенциально мошеннических сообщениях. И не только обычные сотрудники могут стать жертвами фишинговых атак, отметил он. Руководители высшего звена, обладающие полномочиями на перевод средств, становятся мишенью мошенничества с компрометацией деловой переписки (BEC).
Как правило, добавил он, при входе в M365 пользователей не просят вводить код; им следует напомнить, что электронное письмо с запросом кода должно стать тревожным сигналом, который инициирует звонок в ИТ-отдел.
Безопасность, ориентированная на идентификацию, — ключ к успеху
Фриц Жан-Луи, главный советник по кибербезопасности в Info-Tech Research Group, заявил, что защитники должны перейти к безопасности, ориентированной на идентификацию, и рассматривать фишинг в первую очередь как риск компрометации идентификационных данных.
Это означает не только обеспечение устойчивой к фишингу МФА с помощью парольных ключей (passkeys) или других мер входа, одобренных FIDO2, но и усиление контроля сеансов, а также мониторинг аномального поведения аутентификации, включая неправомерное использование токенов и подозрительную активность OAuth.
Администраторам также следует внедрить непрерывную оценку доступа, выйдя за рамки аутентификации в определенный момент времени, путем динамической оценки риска для пользователей и устройств на протяжении активных сеансов, что позволит реагировать на развивающиеся угрозы в режиме реального времени.
Кроме того, специалисты по реагированию должны использовать поведенческие сигналы, измеряя активность и поощряя пользователей сообщать о подозрительном поведении, а также включая человеческую телеметрию, такую как скорость сообщений и шаблоны взаимодействия, в стратегии обнаружения.
Жан-Луи отметил, что администраторам также необходимо уменьшить радиус поражения своей организации путем внедрения более строгого исходящего мониторинга, автоматических триггеров сдерживания и более жесткого контроля над неправомерным использованием учетных записей для ограничения бокового распространения.
Наконец, он рекомендовал администраторам сегментировать пользователей и функции с высоким риском, применяя усиленные меры безопасности и предоставляя изолированные среды для руководителей, финансового отдела и ИТ-специалистов с привилегированными ролями.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
