Федеральне бюро розслідувань (ФБР) випустило попередження щодо нової серії інструментів “Фішинг як сервіс” (Phishing-as-a-Service, PhaaS), які активно використовуються для компрометації облікових записів Microsoft 365. Ця кампанія вирізняється високою складністю, але водночас доступністю для зловмисників. Сервіс Kali365 PhaaS надає кіберзлочинцям можливість отримати стійкий доступ до корпоративних середовищ Microsoft 365. Це досягається шляхом викрадення OAuth-токенів. Для цього використовуються фішингові листи, створені за допомогою штучного інтелекту, які перенаправляють користувачів на легітимні сторінки автентифікації Microsoft. Після успішного отримання OAuth-токена зловмисник може отримати несанкціонований доступ до таких сервісів, як Outlook, Teams та OneDrive, оминаючи необхідність додаткових перевірок чи автентифікації. “Платформи ‘Фішинг як сервіс’ (PaaS), подібні до Kali365, набувають все більшої популярності, перетворюючи кібератаки на висококомерціалізований бізнес за підпискою. Це дозволяє зловмисникам використовувати готові рішення замість розробки власної інфраструктури, що значно знижує поріг входження для здійснення атак,” — зазначає Дебора Галеа, експертка з кібербезпеки компанії Filigran. Подібні фішингові кампанії значною мірою покладаються на людський фактор для зламу облікових записів. Однак існують ефективні кроки для захисту облікових записів та корпоративних середовищ Microsoft 365. Далі наведено три ключові методи протидії кампанії Kali365 PhaaS.
Підвищення пильності щодо фішингу
Фішингові повідомлення можуть мати різноманітні форми, від запрошень на співбесіду до запитів на доступ до документів. Зловмисники використовують інструменти ШІ для створення переконливих фішингових листів, які здатні оминати спам-фільтри та ефективно маскуватися під звичайну кореспонденцію. “Kali365 є особливо небезпечним, оскільки він дозволяє зловмисникам захоплювати облікові записи Microsoft 365, обходячи багатофакторну автентифікацію (MFA) без необхідності крадіжки облікових даних. Ми рекомендуємо компаніям впроваджувати превентивні заходи, такі як обмеження потоку коду пристрою, блокування передачі автентифікації та використання MFA, стійкої до фішингових атак,” — додає Галеа. IT-адміністраторам слід уважно стежити за оновленою інформацією з каналів розвідки загроз щодо актуальних тенденцій фішингу та поточних кампаній. Крім того, персоналу може бути корисним навчання з виявлення фішингових листів та їх своєчасного повідомлення, що може включати регулярні симуляції, які імітують реальні тактики, техніки та процедури (TTPs), що використовуються кіберзлочинцями. Користувачі, своєю чергою, повинні зберігати пильність щодо несподіваних запитів на автентифікацію облікового запису Microsoft, особливо якщо вони не ініціювали процес входу.
Використання політик умовного доступу (Conditional Access Policies)
ФБР наполегливо рекомендує активацію політик умовного доступу, які блокують потік коду пристрою (device code flow) для всіх користувачів. Ця дія перешкоджає роботі основного механізму Kali365, який використовується для перехоплення OAuth-кодів. У контексті атаки Kali365, зловмисник надсилає попередньо згенерований код пристрою зі свого комп’ютера разом із запитом на автентифікацію через легітимну сторінку Microsoft. “Попередження ФБР щодо Kali365 підтверджує тенденцію, яку ми спостерігаємо в корпоративних середовищах Microsoft 365 протягом останніх місяців. Зловмисники більше не намагаються зламати захист Microsoft 365, а використовують функції, створені Microsoft для законних цілей, для отримання доступу. Потік коду пристрою існує для зручного підключення таких пристроїв, як смарт-телевізори та IoT-гаджети, до вашого облікового запису. Зловмисники зрозуміли, що це ефективний вектор для фішингу, оскільки користувач сам натискає ‘схвалити’ на автентичній сторінці Microsoft. MFA не може запобігти процесу, де сам користувач проходить процедуру багатофакторної автентифікації,” — пояснює Андреа Сівієрі, головний директор з продуктів та технологій компанії CoreView. Введений зловмисником код жертва вводить на сторінці автентифікації, що надає зловмиснику доступ до її облікового запису. Після цього зловмисник викрадає OAuth-токени доступу та оновлення (access and refresh tokens), що дозволяє йому отримати доступ до Outlook, Teams та OneDrive без необхідності використання пароля чи додаткових методів автентифікації.
Вердикт ІТ-Блогу: Обов’язкове оновлення політик безпеки для всіх організацій, що використовують Microsoft 365, з особливою увагою до блокування потоку коду пристрою та навчання користувачів.
За матеріалами: itc.ua