
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
ARToken to platforma phishing-as-a-service (PhaaS) powiązana z ekosystemem EvilTokens, wykorzystywana w kampaniach wymierzonych w użytkowników Microsoft 365. Jej istotą nie jest wyłącznie wyłudzenie danych logowania, ale przejęcie tokenów uwierzytelniających, utrwalanie dostępu do konta oraz automatyzacja działań charakterystycznych dla oszustw business email compromise.
W praktyce oznacza to, że napastnicy mogą uzyskać trwały dostęp nie tylko do skrzynki pocztowej ofiary, ale również do zasobów przechowywanych w usługach takich jak SharePoint i OneDrive. To przesuwa ciężar zagrożenia z klasycznego phishingu na pełnoskalowe przejęcie tożsamości w środowisku chmurowym.
W skrócie
- ARToken został powiązany z infrastrukturą EvilTokens i kampaniami przeciwko Microsoft 365.
- Platforma wykorzystuje phishing oparty na przepływie device code, bazujący na legalnym mechanizmie logowania Microsoftu.
- Narzędzie wspiera przejęcie i odnawianie tokenów, w tym mechanizmy utrwalania dostępu.
- Operatorzy mogą uzyskiwać dostęp do Outlooka, SharePoint i OneDrive oraz wspierać operacje BEC.
- Zagrożenie jest szczególnie niebezpieczne, ponieważ część aktywności wygląda jak legalne użycie usług chmurowych.
Kontekst / historia
Ataki phishingowe na Microsoft 365 od lat ewoluują. Zamiast prostych stron podszywających się pod formularz logowania coraz częściej wykorzystywane są prawidłowe mechanizmy uwierzytelniania, które dają ofierze złudne poczucie bezpieczeństwa. Jednym z takich wariantów jest device code phishing, w którym użytkownik sam kończy proces logowania na autentycznej stronie dostawcy.
Wcześniejsze analizy EvilTokens wskazywały, że jest to model usługowy dla cyberprzestępców, zapewniający infrastrukturę, automatyzację kampanii oraz funkcje ułatwiające późniejsze nadużycia finansowe. ARToken wpisuje się w ten trend jako bardziej dojrzały panel operatorski dla afiliantów, pozwalający na skalowanie ataków i zarządzanie wieloma ofiarami jednocześnie.
Analiza techniczna
Kluczowym elementem działania ARToken jest wykorzystanie przepływu OAuth 2.0 Device Authorization Grant. Ofiara otrzymuje kod i instrukcję zalogowania się na prawdziwej stronie Microsoftu. Po poprawnym zakończeniu procesu generowane są tokeny, które następnie mogą zostać użyte przez atakującego do uzyskania dostępu do usług ofiary.
To podejście jest szczególnie groźne, ponieważ nie opiera się na klasycznej kradzieży hasła. W efekcie może omijać część zabezpieczeń skoncentrowanych wyłącznie na ochronie poświadczeń lub standardowym MFA. Jeżeli organizacja nie monitoruje anomalii związanych z tokenami i sesjami, atak może przez długi czas pozostać niezauważony.
Z analizy wynika, że ARToken oferuje szeroki zestaw funkcji operacyjnych, które wykraczają poza jednorazowe przejęcie sesji. Platforma ma wspierać zarówno dostęp do kont, jak i dalsze utrwalanie obecności w środowisku.
- odświeżanie przejętych tokenów i zarządzanie sesjami,
- obsługę wielu kampanii oraz wielu operatorów,
- dostęp do skrzynek Outlook i wysyłanie wiadomości jako ofiara,
- tworzenie reguł skrzynki ukrywających lub przekierowujących korespondencję,
- monitorowanie wiadomości pod kątem określonych słów kluczowych,
- pobieranie załączników,
- dostęp do danych w SharePoint i OneDrive.
Szczególnie niepokojące są funkcje związane z utrzymaniem dostępu i ukrywaniem śladów. Złośliwe reguły pocztowe mogą usuwać ostrzeżenia, maskować odpowiedzi kontrahentów albo przekierowywać korespondencję finansową. Z kolei dostęp do współdzielonych zasobów chmurowych zwiększa ryzyko wycieku danych oraz wykorzystania zaufanych kanałów do dalszego rozprzestrzeniania szkodliwych treści.
Konsekwencje / ryzyko
Ryzyko związane z ARToken jest wysokie, ponieważ platforma łączy legalny proces logowania, przejęcie tokenów i automatyzację działań po kompromitacji. Dla organizacji oznacza to, że samo wdrożenie uwierzytelniania wieloskładnikowego może nie wystarczyć, jeśli nie towarzyszy mu kontrola kontekstowa, monitoring sesji i analiza zachowań użytkowników.
- przejęcie skrzynki pocztowej i podszywanie się pod pracownika,
- oszustwa finansowe oraz przekierowanie płatności,
- wyciek dokumentów z SharePoint i OneDrive,
- długotrwałe utrzymanie dostępu do konta,
- eskalacja do większej kampanii BEC,
- utrudnienie reakcji przez ukrywanie wiadomości i alertów.
Dla zespołów SOC i incident response wyzwaniem jest fakt, że aktywność napastnika może przypominać legalne użycie usług Microsoft 365. W takim scenariuszu klasyczne wskaźniki kompromitacji bywają ograniczone, dlatego obrona powinna skupiać się na korelacji zdarzeń tożsamościowych, aktywności pocztowej, zmianach w regułach skrzynki oraz nietypowym dostępie do plików.
Rekomendacje
Organizacje korzystające z Microsoft 365 powinny traktować device code phishing jako odrębną klasę zagrożenia. Oznacza to konieczność przeglądu polityk tożsamości, ograniczenia zbędnych przepływów uwierzytelniania oraz wdrożenia detekcji nakierowanej na nadużycia tokenów.
- zweryfikować, czy przepływ device code jest rzeczywiście potrzebny w organizacji,
- wdrożyć polityki Conditional Access oraz dodatkowe kontrole ryzyka tożsamości,
- monitorować logi Entra ID pod kątem nietypowych zdarzeń związanych z device code i token refresh,
- wykrywać podejrzane reguły skrzynki pocztowej, zwłaszcza ukrywające, usuwające lub przekierowujące wiadomości,
- analizować nietypowy dostęp do SharePoint i OneDrive po incydentach tożsamościowych,
- wprowadzić dodatkowe procedury weryfikacji próśb finansowych i zmian danych płatniczych,
- szkolić użytkowników, że nawet legalna strona logowania może zostać użyta w scenariuszu phishingowym,
- po wykryciu incydentu unieważniać sesje, usuwać złośliwe reguły i przeglądać artefakty utrwalania dostępu.
W przypadku potwierdzonej kompromitacji sama zmiana hasła nie powinna być uznawana za wystarczającą. Należy przeanalizować aktywne sesje, tokeny, reguły pocztowe, dostęp do danych współdzielonych oraz potencjalne przygotowania do oszustw wobec partnerów biznesowych.
Podsumowanie
ARToken pokazuje, że nowoczesne platformy PhaaS ewoluują w kierunku kompletnych zestawów operacyjnych do przejmowania tożsamości i prowadzenia fraudów w chmurze. Połączenie z EvilTokens, wykorzystanie device code phishingu, obsługa utrwalania dostępu oraz funkcje wspierające BEC sprawiają, że zagrożenie wykracza daleko poza tradycyjny model phishingu.
Dla firm korzystających z Microsoft 365 to wyraźny sygnał, że ochrona tożsamości, tokenów sesyjnych oraz aktywności pocztowej musi stać się jednym z priorytetów cyberbezpieczeństwa. Skuteczna obrona wymaga nie tylko prewencji, ale również widoczności operacyjnej i szybkiej reakcji na anomalie w usługach chmurowych.