FBI advarer om, at cyberkriminelle i stigende grad bruger Kali365-phishingkittet til at kapre Microsoft 365-konti samtidig med, at de omgår multifaktorautentificering.
Ifølge efterforskere fungerer Kali365 som en phishing-as-a-service-platform, der distribueres via Telegram-kanaler og cyberkriminelle fora. I stedet for at stjæle adgangskoder direkte fokuserer værktøjet på at stjæle OAuth-tokens og autentificerede sessioner.
Forskere advarer om, at denne metode gør det muligt for angribere at få adgang til Microsoft 365-konti, selv efter at brugere har gennemført MFA-verificering.
Advarslen viser også, hvordan tokenbaserede phishingangreb mod virksomheders cloudmiljøer fortsætter med at stige.
Kali365 bruger device code-baseret phishing
Kali365-phishingkittet misbruger Microsofts legitime autentificeringsflow for device code-login.
Microsoft udviklede oprindeligt funktionen til enheder med begrænsede inputmuligheder, såsom smart-tv’er, printere, konferenceløsninger og IoT-enheder. Brugere autentificerer disse enheder ved at indtaste en kort autorisationskode via Microsofts officielle loginportal.
Angribere udnytter processen ved selv at generere autorisationskoder og derefter narre brugere til at indtaste dem gennem phishingmails eller falske loginanmodninger.
Forskere oplyser, at angribere ofte udgiver sig for at være betroede tjenester som:
- SharePoint
- Microsoft 365
- Adobe Acrobat Sign
- DocuSign
Når brugere indtaster autorisationskoden og gennemfører MFA-verificering, udsteder Microsoft OAuth-tokens knyttet til angriberens session.
Processen gør det muligt for angribere at få adgang til konti uden direkte at stjæle adgangskoder.
Stjålne tokens giver langvarig adgang
Forskere advarer om, at tyveri af OAuth-tokens skaber alvorlige sikkerhedsrisici, fordi angribere kan omgå traditionelle loginbeskyttelser fuldstændigt.
Vellykkede angreb kan give adgang til:
- Outlook-postkasser
- Teams-samtaler
- OneDrive-filer
- SharePoint-miljøer
- Tilknyttede cloudapplikationer
Sikkerhedsforskere rapporterer også, at angribere nogle gange opretter skadelige indbakkeregler for at skjule mistænkelig aktivitet i kompromitterede postkasser.
I visse hændelser skal trusselsaktører også have registreret nye enheder i offerets miljø for at opretholde vedvarende adgang.
Kali365-phishingkittet skulle desuden indeholde avancerede adversary-in-the-middle-funktioner, som opsnapper autentificerede browsersessioner og sessionscookies efter, at brugere har gennemført MFA-verificering.
Forskere advarer om, at disse teknikker gør moderne phishingangreb langt sværere at opdage sammenlignet med traditionelle kampagner for tyveri af loginoplysninger.
FBI opfordrer organisationer til at begrænse device code-autentificering
FBI anbefaler, at organisationer begrænser eller deaktiverer device code-baserede autentificeringsflows, hvor det er muligt.
Efterforskere opfordrer også virksomheder til at:
- Overvåge mistænkelig OAuth-tokenaktivitet
- Gennemgå uautoriserede enhedsregistreringer
- Implementere Conditional Access-politikker
- Begrænse autentificeringsoverførsler
- Revidere brugen af device code-autentificering
Forskere forklarer, at tokenbaseret tyveri og device code-phishing er steget hurtigt det seneste år, efter at cyberkriminelle i stigende grad er gået væk fra traditionelle metoder til adgangskodetyveri.
Flere phishing-as-a-service-platforme bruger ifølge rapporter allerede lignende metoder mod Microsoft 365- og Entra-miljøer.
Konklusion
Kali365-phishingkittet viser, hvordan moderne phishingoperationer fortsætter med at udvikle sig ud over traditionelt tyveri af adgangskoder. I stedet fokuserer angribere i stigende grad på OAuth-tokens og autentificerede sessioner, som kan omgå MFA-beskyttelse.
FBI’s advarsel viser også, hvordan phishing-as-a-service-platforme gør avancerede angrebsmetoder tilgængelige for et langt større antal cyberkriminelle. Efterhånden som tokenbaserede angreb fortsætter med at vokse, kan organisationer få brug for stærkere identitetsbeskyttelse og strengere autentificeringskontroller i deres cloudmiljøer.
0 svar til “Kali365-phishingkit omgår Microsoft 365 MFA”