Foto: Microsoft
Phishing-as-a-service platforma Kali365, koja je ranije bila povezana s pokušajima zaobilaženja višefaktorske autentikacije na računima Microsoft 365, sada je proširila ciljeve na AWS, Okta, Xerox DocuShare i više ruskih online servisa. Prema izvještaju koji je ovog tjedna objavio Arctic Wolf, riječ je o razvoju od alata usmjerenog na Microsoftove račune do šire platforme za kompromitiranje digitalnih identiteta.
Arctic Wolf navodi da je među najuočljivijim novim metama MAX Messenger, ruska platforma za razmjenu poruka s više od 80 milijuna korisnika koju je ruska vlada promovirala kao nacionalnu uslugu za poruke. Tvrtka je zaključila da širenje Kali365 na MAX Messenger i druge ruske servise upućuje na dosljedan fokus operatera na ruske potrošačke internetske platforme, uz postojeće zapadne korporativne mete.
Kali365 se posljednjih mjeseci istaknuo kao jedan od poznatijih primjera device code phishinga. Taj pristup zlorabi prijavni tijek koji koriste pametni televizori, pisači i drugi uređaji bez punog preglednika ili tipkovnice, a korisnik se prijavljuje putem drugog uređaja. U napadu napadač generira legitimni OAuth 2.0 device authorization zahtjev i zatim žrtvu navodi da kod upiše na legitimnoj stranici za prijavu, primjerice kroz e-poruku koja se predstavlja kao dijeljena OneDrive datoteka ili sigurnosna provjera. Kad žrtva obavi autentifikaciju i eventualne MFA korake, usluga izdaje pristupne tokene napadačevoj sesiji, bez da napadač ikada mora doći do lozinke.
FBI je prošlog mjeseca izdao javno upozorenje o Kali365 i objasnio kako napad funkcionira. U upozorenju se navodi da Kali365 smanjuje prag ulaska jer manje tehnički potkovanim napadačima daje pristup AI-generiranim phishing mamcima, automatiziranim predlošcima kampanja, nadzornim pločama za praćenje meta u stvarnom vremenu i mogućnostima hvatanja OAuth tokena. Arctic Wolf je u svojoj analizi naveo i da je uspio identificirati live command-and-control infrastrukturu platforme te potom pronaći skupinu od 126 zlonamjernih hostova aktivnih od početka do kraja svibnja, koji su svi služili istom kitu.
Prema Arctic Wolfu, ti hostovi imitiraju širok raspon platformi, uključujući Microsoft Outlook, Microsoft Live, Okta SSO, Xerox DocuShare, njemačkog e-mail pružatelja GMX, konvencije imenovanja za Amazon Web Services te više velikih ruskih online servisa, među kojima su Mail.ru, Yandex Disk i društvena mreža Odnoklassniki. Tvrtka navodi da upravo ta širina pokazuje kako je Kali365 prerastao iz specijalizirane platforme za krađu M365 tokena u širi alat za krađu vjerodajnica koji predstavlja prijetnju korporativnim organizacijama u različitim regijama.
Arctic Wolf preporučuje provedbu sveobuhvatne edukacije o sigurnosnoj svijesti kako bi korisnici brže prepoznali i prijavili sumnjive aktivnosti, uključujući taktike zabilježene u ovoj kampanji. U izvješću su navedene i konkretne mjere koje organizacije mogu poduzeti kako bi prepoznale potencijalno zlonamjerne aktivnosti povezane s Kali365. Tvrtka također upozorava da je Kali365 jedan od više device code phishing kitova koji su se pojavili posljednjih mjeseci, uz Tycoon2FA, Venom i CYB3R. Push Security je u zasebnom izvješću naveo da je zabilježio veliki porast aktivnosti device code phishinga te da je najmanje 14 takvih kitova trenutačno dostupno u divljini.
Vezane vijesti
