FBI ostrzega przed Kali365: nowa platforma PhaaS przejmuje sesje Microsoft 365 i omija MFA - Security Bez Tabu

FBI ostrzega przed Kali365: nowa platforma PhaaS przejmuje sesje Microsoft 365 i omija MFA

Cybersecurity news

Wprowadzenie do problemu / definicja

FBI ostrzegło przed Kali365, nową platformą typu Phishing-as-a-Service, która została zaprojektowana do przejmowania dostępu do kont Microsoft 365. Zagrożenie wyróżnia się tym, że nie koncentruje się na klasycznej kradzieży loginu i hasła, lecz na nadużyciu legalnego mechanizmu uwierzytelniania oraz przechwytywaniu tokenów OAuth.

W praktyce oznacza to, że atakujący może uzyskać dostęp do usług takich jak Outlook, Teams czy OneDrive nawet wtedy, gdy organizacja stosuje wieloskładnikowe uwierzytelnianie. To istotna zmiana w krajobrazie zagrożeń, ponieważ atak wykorzystuje prawidłowy proces logowania i przez to może być trudniejszy do wykrycia.

W skrócie

Kali365 to komercyjna usługa udostępniana cyberprzestępcom w modelu abonamentowym. Platforma upraszcza przygotowanie i prowadzenie kampanii phishingowych wymierzonych w użytkowników Microsoft 365, oferując gotowe szablony, funkcje automatyzacji oraz mechanizmy przechwytywania tokenów sesyjnych.

  • Atak bazuje na mechanizmie OAuth 2.0 Device Authorization Grant.
  • Ofiara jest nakłaniana do wpisania kodu urządzenia na legalnej stronie Microsoft.
  • Po zatwierdzeniu napastnik uzyskuje tokeny dostępu i odświeżania.
  • Technika pozwala obejść MFA bez znajomości hasła użytkownika.
  • Model PhaaS obniża próg wejścia dla mniej zaawansowanych operatorów.

Kontekst / historia

Device code phishing nie jest całkowicie nową techniką, jednak w ostatnim czasie zyskał na znaczeniu ze względu na rosnącą skalę komercjalizacji. Ostrzeżenie FBI wskazuje, że Kali365 zaczęto obserwować w kwietniu 2026 roku, a sama platforma była promowana głównie za pośrednictwem komunikatorów.

Z opisu wynika, że kampanie były wymierzone w wiele sektorów, w tym produkcję, edukację, finanse, ochronę zdrowia oraz administrację. Równolegle pojawiały się także inne raporty branżowe opisujące szerzej zakrojone kampanie wykorzystujące ten sam mechanizm nadużycia przepływu device code w środowiskach Microsoft 365.

Rosnąca popularność takich operacji pokazuje, że phishing coraz częściej przesuwa się z prostego wyłudzania haseł w stronę przejmowania legalnych sesji i zgód autoryzacyjnych. Dla organizacji oznacza to konieczność rozszerzenia modelu obrony o ochronę tokenów, sesji i procesów tożsamościowych.

Analiza techniczna

Podstawą ataku jest legalny przepływ OAuth 2.0 Device Authorization Grant, zaprojektowany z myślą o urządzeniach, które nie oferują wygodnego interfejsu logowania. W prawidłowym scenariuszu użytkownik otrzymuje kod i wpisuje go na zaufanej stronie, aby autoryzować dostęp konkretnego urządzenia lub aplikacji do swojego konta.

W kampaniach związanych z Kali365 mechanizm ten zostaje odwrócony na korzyść napastnika. To atakujący inicjuje proces i generuje kod urządzenia powiązany z własną sesją, a następnie przekonuje ofiarę, by wpisała ten kod na prawdziwej stronie Microsoft. Z punktu widzenia użytkownika wszystko może wyglądać wiarygodnie, ponieważ logowanie nie odbywa się na fałszywej domenie.

  • Napastnik generuje kod urządzenia dla kontrolowanej przez siebie sesji.
  • Ofiara otrzymuje wiadomość phishingową podszywającą się pod zaufaną usługę.
  • W wiadomości znajduje się prośba o wejście na legalną stronę weryfikacyjną Microsoft i wpisanie kodu.
  • Użytkownik zatwierdza proces, często sądząc, że uzyskuje dostęp do dokumentu lub usługi.
  • Napastnik przejmuje token dostępu i token odświeżania, uzyskując dostęp do zasobów Microsoft 365.

To podejście jest szczególnie groźne, ponieważ omija część klasycznych wskaźników phishingu. Nie ma tu konieczności tworzenia klonu strony logowania ani przechwytywania hasła. W efekcie zarówno użytkownik, jak i niektóre mechanizmy ochronne mogą nie rozpoznać incydentu na wczesnym etapie.

Dodatkowo Kali365 upraszcza całą operację od strony przestępczej. Według opisu platforma zapewnia generowane przez AI przynęty, gotowe szablony kampanii oraz panele monitorujące skuteczność działań. To sprawia, że przeprowadzenie ataku staje się dostępne także dla podmiotów o mniejszym zapleczu technicznym.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest możliwość obejścia MFA bez kradzieży hasła. W wielu organizacjach wieloskładnikowe uwierzytelnianie jest traktowane jako podstawowa bariera przeciw przejęciu konta. W tym przypadku użytkownik sam autoryzuje sesję napastnika, co osłabia skuteczność tradycyjnych założeń bezpieczeństwa.

Przejęte tokeny OAuth mogą umożliwić długotrwały dostęp do środowiska chmurowego i prowadzić do dalszych etapów ataku. Ryzyko nie ogranicza się wyłącznie do pojedynczej skrzynki pocztowej, lecz obejmuje także dane, komunikację i potencjalny ruch boczny w organizacji.

  • Dostęp do poczty, kalendarzy i korespondencji służbowej.
  • Dostęp do plików i komunikacji w Teams oraz OneDrive.
  • Możliwość utrzymania sesji dzięki tokenom odświeżania.
  • Wykorzystanie przejętego konta do dalszego phishingu wewnątrz organizacji.
  • Zwiększone ryzyko wycieku danych i nadużyć biznesowych.

Szczególnie narażone są środowiska, które dopuszczają przepływ device code bez dodatkowych ograniczeń, nie monitorują zgód OAuth i nie analizują anomalii związanych z nowymi sesjami, lokalizacjami czy klientami dostępowymi.

Rekomendacje

Organizacje korzystające z Microsoft 365 powinny traktować ten typ kampanii jako odrębną klasę zagrożeń tożsamościowych. Obrona nie może ograniczać się wyłącznie do filtrowania wiadomości phishingowych i ochrony haseł.

  • Ograniczyć lub wyłączyć device code flow tam, gdzie nie jest niezbędny biznesowo.
  • Przeprowadzić przegląd aplikacji i procesów korzystających z tego mechanizmu.
  • Wdrożyć polityki Conditional Access dla autoryzacji urządzeń i aplikacji.
  • Monitorować tworzenie, użycie i odświeżanie tokenów OAuth.
  • Analizować nietypowe nowe sesje, urządzenia, lokalizacje i klientów logowania.
  • Uczyć użytkowników, że niezamówiona prośba o wpisanie kodu urządzenia powinna być traktowana jako sygnał ostrzegawczy.
  • Przygotować procedury szybkiego unieważniania tokenów, resetu sesji i przeglądu zgód aplikacyjnych.

Z perspektywy zespołów SOC i IAM istotne jest rozwijanie detekcji opartych nie tylko na nieudanych logowaniach, ale także na nietypowych autoryzacjach zakończonych powodzeniem. Skuteczna identyfikacja takich incydentów wymaga korelacji danych z poczty, systemów tożsamości, logów aplikacyjnych i telemetryki dostępowej.

Podsumowanie

Kali365 pokazuje, że współczesny phishing coraz częściej nie polega na wyłudzaniu hasła, lecz na przejmowaniu legalnych sesji i tokenów dostępu. Nadużycie mechanizmu device code w Microsoft 365 pozwala atakującym ukryć się za prawidłowym procesem autoryzacji i utrzymać dostęp do zasobów bez klasycznych oznak kompromitacji poświadczeń.

Dla organizacji to wyraźny sygnał, że ochrona tożsamości musi objąć nie tylko MFA, ale również kontrolę przepływów OAuth, monitorowanie zgód aplikacyjnych oraz ścisłe ograniczanie scenariuszy, w których device code flow pozostaje aktywny.

Źródła

  1. Cybersecurity Dive, https://www.cybersecuritydive.com/news/fbi-warns-phishing-platform-microsoft-365/821105/
  2. FBI IC3 — Kali365 Phishing-as-a-Service Kit Hijacks Microsoft 365 Access Tokens, https://www.ic3.gov/PSA/2026/PSA260521
  3. Microsoft Support — Protect yourself from phishing, https://support.microsoft.com/en-us/security/protect-yourself-from-phishing
  4. Microsoft Security Blog — Storm-2372 conducts device code phishing campaign, https://www.microsoft.com/en-us/security/blog/2025/02/13/storm-2372-conducts-device-code-phishing-campaign/
  5. Cloud Security Alliance — OAuth Device Code Phishing Hits 340+ Microsoft 365 Organizations, https://labs.cloudsecurityalliance.org/research/csa-research-note-oauth-device-code-phishing-m365-20260325-c/