
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Phishing wymierzony w środowiska Microsoft 365 pozostaje jednym z najgroźniejszych sposobów przejmowania tożsamości w organizacjach. Najnowsze kampanie pokazują, że cyberprzestępcy coraz częściej odchodzą od prostego wyłudzania loginu i hasła, koncentrując się na technikach pozwalających obejść uwierzytelnianie wieloskładnikowe.
Na szczególną uwagę zasługują dwa nowe zestawy phishingowe: Jalisco oraz OmegaLord. Choć działają inaczej, ich cel jest wspólny — uzyskanie trwałego dostępu do kont Microsoft 365, a następnie wykorzystanie go do kradzieży danych i dalszych działań ofensywnych.
W skrócie
- Jalisco wykorzystuje phishing oparty na device code i nadużywa przepływu OAuth 2.0 Device Authorization Grant.
- OmegaLord stosuje klasyczny model wyłudzania poświadczeń, podszywając się pod czytnik PDF.
- Oba zestawy są projektowane z myślą o obchodzeniu MFA oraz szybkim przejęciu dostępu do zasobów Microsoft 365.
- Po skutecznym ataku celem są najczęściej dane z usług SaaS, w tym SharePoint i inne zasoby chmurowe.
Kontekst / historia
Phishing wykorzystujący device code nie jest całkowicie nowy, ale zyskuje znaczenie wraz z popularyzacją nowoczesnych metod uwierzytelniania. Mechanizm ten został stworzony z myślą o urządzeniach z ograniczonym interfejsem, takich jak telewizory, terminale czy urządzenia IoT, które nie oferują pełnej obsługi logowania w przeglądarce.
W praktyce atakujący uruchamia legalny proces autoryzacji w ekosystemie Microsoft, a następnie nakłania ofiarę do zatwierdzenia kodu urządzenia na prawdziwej stronie logowania. To odróżnia ten scenariusz od klasycznych kampanii phishingowych, ponieważ użytkownik nie widzi fałszywego formularza logowania, co znacznie utrudnia rozpoznanie oszustwa.
Równolegle ewoluują tradycyjne phishing kity. Coraz częściej nie ograniczają się do zbierania adresu e-mail i hasła, lecz przechwytują również dodatkowe informacje, takie jak numer telefonu, dane sesyjne czy elementy pomocne w obejściu kolejnych etapów uwierzytelnienia.
Analiza techniczna
Jalisco wykorzystuje przepływ OAuth 2.0 Device Authorization Grant. W tym modelu użytkownik musi potwierdzić kod urządzenia na legalnej stronie dostawcy tożsamości. Cyberprzestępca generuje taki kod dla usługi Microsoft 365, a następnie przekazuje go ofierze pod wiarygodnym pretekstem. Jeśli użytkownik zatwierdzi proces, dostęp zostaje przyznany urządzeniu kontrolowanemu przez napastnika.
Jedną z ważniejszych cech Jalisco jest dynamiczne generowanie świeżych kodów OAuth w momencie wejścia na stronę phishingową. Ma to znaczenie operacyjne, ponieważ kody device code mają ograniczoną ważność. Automatyzacja zwiększa skuteczność kampanii i zmniejsza ryzyko, że kod wygaśnie, zanim ofiara zakończy proces autoryzacji.
Zestaw oferuje również panel operatorski do zarządzania przejętymi sesjami i kontami. W części incydentów obserwowano rejestrację wielu nieautoryzowanych urządzeń powiązanych z jednym kontem. Dodatkowym utrudnieniem dla administratorów jest nadawanie tym urządzeniom nazw przypominających zaufane systemy lub usługi Microsoft, co komplikuje ręczną identyfikację zagrożenia.
Po przejęciu dostępu atakujący szybko przeszukują środowiska SaaS, zwłaszcza SharePoint, w poszukiwaniu danych finansowych, dokumentów wewnętrznych, danych osobowych i korespondencji. Charakterystyczna jest bardzo krótka ścieżka od kompromitacji do eksfiltracji informacji.
OmegaLord działa w bardziej tradycyjny sposób. To klasyczny phishing kit, który prezentuje ofierze fałszywy ekran logowania stylizowany na czytnik PDF. Narzędzie zbiera adres e-mail, hasło i numer telefonu. Pozyskanie numeru telefonu ma istotną wartość operacyjną, ponieważ może wspierać dalsze próby obejścia MFA, w tym ataki socjotechniczne wykorzystujące SMS lub połączenia głosowe.
Konsekwencje / ryzyko
Największe zagrożenie polega na tym, że samo MFA nie gwarantuje już wystarczającej ochrony, jeśli nie towarzyszą mu odpowiednie ograniczenia kontekstowe, monitoring i kontrola sesji. W przypadku Jalisco użytkownik może nieświadomie autoryzować dostęp atakującemu bez ujawniania własnego hasła, przez co klasyczne wskaźniki kompromitacji stają się mniej oczywiste.
Dla organizacji oznacza to realne ryzyko kradzieży danych z Microsoft 365, naruszenia poufności informacji klientów i pracowników, utraty dokumentacji operacyjnej oraz szantażu opartego na groźbie publikacji przejętych materiałów. Przejęte konto może zostać też wykorzystane do dalszego lateral movement w usługach chmurowych, rozsyłania kolejnych wiadomości phishingowych oraz eskalacji ataku na partnerów biznesowych.
W środowiskach, w których dozwolona jest szeroka rejestracja urządzeń, napastnicy mogą utrzymywać kilka punktów dostępu jednocześnie. To zwiększa złożoność reagowania na incydent i wydłuża czas potrzebny na pełne usunięcie skutków kompromitacji.
Rekomendacje
Organizacje korzystające z Microsoft 365 powinny ograniczyć lub całkowicie zablokować uwierzytelnianie z użyciem device code tam, gdzie nie jest ono niezbędne biznesowo. Jeśli taki mechanizm musi pozostać aktywny, powinien być objęty ścisłymi politykami Conditional Access oraz monitorowaniem nietypowych autoryzacji urządzeń.
Warto także zmniejszyć domyślny limit rejestracji urządzeń w Entra ID do poziomu uzasadnionego operacyjnie. Ogranicza to możliwość utrzymania dostępu po kompromitacji i upraszcza proces remediacji.
- regularny audyt rejestracji urządzeń i aplikacji w Entra ID,
- usuwanie zbędnych lub nieużywanych rejestracji aplikacji,
- monitorowanie anomalii w dostępie do SharePoint, Exchange Online i innych usług SaaS,
- wykrywanie masowego pobierania danych po nowej autoryzacji,
- analiza nietypowych nazw urządzeń i nagłego wzrostu liczby urządzeń przypisanych do jednego konta,
- szkolenie użytkowników z rozpoznawania scenariuszy zatwierdzania kodów urządzeń i fałszywych monitów autoryzacyjnych.
Skuteczniejsza strategia ochrony tożsamości powinna łączyć odporne na phishing metody uwierzytelniania, polityki oceny ryzyka sesji, analizę aktywności po zalogowaniu oraz szybkie unieważnianie sesji i tokenów po wykryciu nieprawidłowości.
Podsumowanie
Jalisco i OmegaLord pokazują dwa istotne kierunki rozwoju współczesnego phishingu przeciwko Microsoft 365. Z jednej strony obserwujemy nadużywanie legalnych mechanizmów autoryzacji, z drugiej rozbudowę klasycznych formularzy wyłudzających o dane potrzebne do obejścia MFA.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona tożsamości nie może opierać się wyłącznie na haśle i drugim składniku. Konieczne staje się objęcie nadzorem przepływów OAuth, rejestracji urządzeń, aktywności w usługach SaaS oraz zachowań użytkowników po uwierzytelnieniu.
Źródła
- BleepingComputer — New phishing kits target Microsoft 365 accounts, evade MFA — https://www.bleepingcomputer.com/news/security/new-phishing-kits-target-microsoft-365-accounts-evade-mfa/
- ReliaQuest — New phishing kits target Microsoft 365 accounts, evade MFA — https://reliaquest.com/blog/new-phishing-kits-target-microsoft-365-accounts-evade-mfa/
- Microsoft Learn — OAuth 2.0 device authorization grant flow — https://learn.microsoft.com/