Фишинг для чайников: Форг365 снижает барьер для захвата учетных записей M365

Forg365 фишинг Microsoft 365 аутентификация кибербезопасность Telegram csoonline.com

Новая платформа Forg365 на базе Telegram с ИИ-приманками автоматизирует захват учеток Microsoft 365. Узнайте, как работает сервис, обходящий MFA, и какие меры защиты внедрить прямо сейчас.

Недавно задокументированная платформа phishing-as-a-service, распространяемая через Telegram, снижает технический барьер для захвата учетных записей Microsoft 365, предоставляя менее опытным злоумышленникам автоматизированные инструменты для обхода некоторых механизмов аутентификации и сохранения доступа после компрометации.

Платформа, названная Forg365, использует создание приманок с помощью ИИ, а также злоупотребление кодом устройства и атаки «человек посередине», согласно исследованию, опубликованному компанией по безопасности ZeroBEC.

Forg365 предлагалась с пятидневным бесплатным пробным периодом, после чего подписка стоила 400 долларов в месяц или 3800 долларов в год, сообщили исследователи.

Клиенты могут создавать фишинговые приманки и управлять доставкой писем через единую панель оператора. Они также могут управлять захваченными данными учетных записей и отслеживать скомпрометированные почтовые ящики Microsoft 365. Сервис включает шаблоны, имитирующие широко используемые бизнес-платформы, такие как DocuSign, Adobe Acrobat Sign, SharePoint и OneDrive.

«Phishing-as-a-service существует уже несколько лет», — сказал Джонатан Онг, старший аналитик по управляемым услугам безопасности в Omdia. «Но степень интеграции ИИ в Forg365 и то, как это помогает пользователям, вызывает беспокойство».

Значимость Forg365 заключается в индустриализации и превращении рабочего процесса оператора в продукт, по словам Девашри Датты, исследователя кибербезопасности. «Она объединяет создание приманок с помощью ИИ, методы обхода и операции с почтовым ящиком после компрометации в подписной сервис, распространяемый через Telegram», — сказала Датта.

Как работает Forg365

ZeroBEC сообщила, что расследованная ею кампания началась с письма, построенного на предлоге о бизнес-документе и утверждении платежа. Сообщение опиралось на легитимные облачные и почтовые сервисы, прежде чем направить получателя через несколько перенаправлений.

Forg365 классифицировала посетителей, прежде чем решить, показывать ли страницу фишинга с кодом устройства, поток «человек посередине» или безвредную приманку.

В атаке с кодом устройства жертва направляется на легитимный процесс аутентификации Microsoft и убеждается ввести код, который авторизует сеанс, контролируемый злоумышленником. Использование реальной инфраструктуры Microsoft может сделать запрос правдоподобным.

Платформа также может передавать аутентификацию через атаку «человек посередине» и захватывать информацию о сеансе. ZeroBEC сообщила, что подозрительные посетители перенаправлялись на безобидную страницу, что помогало операторам скрывать фишинговый поток от исследователей и автоматизированных средств защиты.

Осложнение реагирования на инциденты

Расширение для браузера под названием ForgCookie позволяет злоумышленникам генерировать и обновлять файлы cookie единого входа Microsoft из своего браузера, сообщила ZeroBEC.

Forg365 также рекламирует инструменты для поддержания активных сеансов и мониторинга скомпрометированного почтового ящика. Доступ только для чтения к почтовому ящику затем может быть предоставлен через защищенную паролем ссылку.

В результате сброс пароля может не удалить злоумышленника. Украденный материал токена обновления или сеанс, контролируемый злоумышленником, могут остаться работоспособными после изменения пароля. Необходимо также проверить все устройства, зарегистрированные во время компрометации.

«CISO должны относиться к двум мерам контроля как к равно приоритетным, а не последовательным», — сказала Датта, имея в виду строгое ограничение аутентификации с кодом устройства и внедрение устойчивого к фишингу MFA, такого как ключи FIDO2 или WebAuthn.

Организациям, которые не требуют аутентификации с кодом устройства, следует рассмотреть ее блокировку в Microsoft Entra ID, сказал Кит Прабху, основатель и генеральный директор Confidis. Это может нарушить компонент с кодом устройства в кампании Forg365, хотя не остановит атаки, использующие методы «человек посередине» или украденные файлы cookie сеанса.

Компании, которые все еще полагаются на аутентификацию с кодом устройства, должны определить легитимные случаи использования перед введением более широких ограничений. Исключения могут потребоваться для некоторых инструментов командной строки, систем конференц-залов или других устройств с ограниченными возможностями ввода.

Внедрение устойчивой к фишингу аутентификации может также потребовать аппаратных ключей безопасности или управляемых смартфонов и может увеличить количество запросов в поддержку в переходный период, отметила Датта.

После обнаружения компрометации команды реагирования должны отозвать активные токены обновления и завершить существующие сеансы. Прабху также рекомендовал проверить и отозвать неавторизованные разрешения OAuth. Поскольку ForgCookie работает в браузере злоумышленника, защитникам следует искать повторяющиеся невидимые входы и неинтерактивную активность Microsoft Graph с незнакомых адресов, согласно ZeroBEC.

Правила пересылки почтовых ящиков и делегированный доступ должны быть проверены на наличие несанкционированных изменений, сказал Прабху. Такие изменения могут позволить злоумышленникам отслеживать коммуникации или сохранять доступ после сброса пароля.

«Команды IR должны аудировать недавно зарегистрированные устройства и удалять те, которые невозможно привязать к пользователю», — сказала Датта. Команды также должны проверить, не зарегистрировал ли злоумышленник неавторизованное приложение-аутентификатор или ключ passkey во время компрометации, добавила она.

ZeroBEC обнаружила, что некоторые устройства, зарегистрированные во время ее исследования, имели имена, начинающиеся с «Forg365», что дает защитникам возможный индикатор компрометации.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: