FBI advarer om at cyberkriminelle i økende grad bruker Kali365-phishingsettet til å kapre Microsoft 365-kontoer samtidig som de omgår multifaktorautentisering.
Ifølge etterforskere fungerer Kali365 som en phishing-as-a-service-plattform som distribueres via Telegram-kanaler og cyberkriminelle forum. I stedet for å stjele passord direkte fokuserer verktøyet på å stjele OAuth-tokens og autentiserte sesjoner.
Forskere advarer om at denne metoden gjør det mulig for angripere å få tilgang til Microsoft 365-kontoer selv etter at brukere har fullført MFA-verifisering.
Advarselen viser også hvordan tokenbaserte phishingangrep mot bedriftsbaserte skymiljøer fortsetter å øke.
Kali365 bruker device code-basert phishing
Kali365-phishingsettet misbruker Microsofts legitime autentiseringsflyt for device code-innlogging.
Microsoft utviklet opprinnelig funksjonen for enheter med begrensede inntastingsmuligheter, som smart-TV-er, skrivere, konferansesystemer og IoT-enheter. Brukere autentiserer disse enhetene ved å skrive inn en kort autorisasjonskode via Microsofts offisielle innloggingsportal.
Angripere utnytter prosessen ved selv å generere autorisasjonskoder og deretter lure brukere til å skrive dem inn gjennom phishing-e-poster eller falske innloggingsforespørsler.
Forskere opplyser at angripere ofte utgir seg for å være betrodde tjenester som:
- SharePoint
- Microsoft 365
- Adobe Acrobat Sign
- DocuSign
Når brukere skriver inn autorisasjonskoden og fullfører MFA-verifisering, utsteder Microsoft OAuth-tokens knyttet til angriperens sesjon.
Prosessen gjør det mulig for angripere å få kontotilgang uten å stjele passord direkte.
Stjålne tokens gir langvarig tilgang
Forskere advarer om at tyveri av OAuth-tokens skaper alvorlige sikkerhetsrisikoer fordi angripere kan omgå tradisjonelle innloggingsbeskyttelser fullstendig.
Vellykkede angrep kan gi tilgang til:
- Outlook-postbokser
- Teams-samtaler
- OneDrive-filer
- SharePoint-miljøer
- Tilkoblede skyapplikasjoner
Sikkerhetsforskere rapporterer også at angripere noen ganger oppretter skadelige innboksregler for å skjule mistenkelig aktivitet i kompromitterte postbokser.
I enkelte hendelser skal trusselaktører også ha registrert nye enheter i offerets miljø for å opprettholde vedvarende tilgang.
Kali365-phishingsettet skal dessuten inneholde avanserte adversary-in-the-middle-funksjoner som fanger autentiserte nettlesersesjoner og sesjonscookies etter at brukere har fullført MFA-verifisering.
Forskere advarer om at disse teknikkene gjør moderne phishingangrep langt vanskeligere å oppdage sammenlignet med tradisjonelle kampanjer for tyveri av legitimasjon.
FBI oppfordrer organisasjoner til å begrense device code-autentisering
FBI anbefaler at organisasjoner begrenser eller deaktiverer device code-baserte autentiseringsflyter når det er mulig.
Etterforskere oppfordrer også selskaper til å:
- Overvåke mistenkelig OAuth-tokenaktivitet
- Gjennomgå uautoriserte enhetsregistreringer
- Bruke Conditional Access-policyer
- Begrense autentiseringsoverføringer
- Revidere bruken av device code-autentisering
Forskere forklarer at tokenbasert tyveri og device code-phishing har økt raskt det siste året etter at cyberkriminelle i større grad har gått bort fra tradisjonelle passordtyverimetoder.
Flere phishing-as-a-service-plattformer bruker ifølge rapporter allerede lignende metoder mot Microsoft 365- og Entra-miljøer.
Konklusjon
Kali365-phishingsettet viser hvordan moderne phishingoperasjoner fortsetter å utvikle seg utover tradisjonelt passordtyveri. I stedet retter angripere seg i økende grad mot OAuth-tokens og autentiserte sesjoner som kan omgå MFA-beskyttelse.
FBI-advarselen viser også hvordan phishing-as-a-service-plattformer gjør avanserte angrepsmetoder tilgjengelige for et langt større antall cyberkriminelle. Etter hvert som tokenbaserte angrep fortsetter å øke, kan organisasjoner trenge sterkere identitetsbeskyttelse og strengere autentiseringskontroller i skymiljøene sine.
0 responses to “Kali365-phishingsett omgår Microsoft 365 MFA”