
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Forg365 to nowa platforma phishing-as-a-service, której celem są środowiska Microsoft 365. Rozwiązanie zostało zaprojektowane tak, aby ułatwiać cyberprzestępcom przejmowanie kont z użyciem phishingu opartego na device code flow oraz technik adversary-in-the-middle, nastawionych na kradzież sesji i tokenów dostępowych.
To istotna zmiana jakościowa względem tradycyjnych kampanii wyłudzających login i hasło. W przypadku Forg365 celem nie są wyłącznie poświadczenia, ale także autoryzowana sesja użytkownika, co pozwala obejść część klasycznych mechanizmów ochronnych, w tym wieloskładnikowe uwierzytelnianie.
W skrócie
- Forg365 działa w modelu subskrypcyjnym jako usługa dla operatorów kampanii phishingowych.
- Platforma atakuje konta Microsoft 365 przy użyciu phishingu device code oraz scenariuszy AitM.
- W kampaniach wykorzystywana jest legalna infrastruktura pocztowa i wieloetapowe przekierowania.
- Narzędzie oferuje funkcje antybotowe, generowanie przynęt z użyciem AI oraz działania po kompromitacji.
- Przejęcie sesji i tokenów może umożliwić atakującemu dostęp do poczty, plików i procesów biznesowych bez znajomości hasła ofiary.
Kontekst / historia
Ekosystem phishing-as-a-service rozwija się od lat, ale w ostatnim czasie wyraźnie przesunął się z prostego wyłudzania haseł w stronę przejmowania tożsamości i sesji. Coraz więcej zestawów narzędzi nadużywa legalnych mechanizmów uwierzytelniania, takich jak OAuth czy interaktywne przepływy logowania przeznaczone dla urządzeń o ograniczonych możliwościach wprowadzania danych.
Forg365 wpisuje się w ten trend jako dojrzała platforma operacyjna. Oferuje nie tylko gotowe strony phishingowe, ale też panel do zarządzania kampaniami, funkcje rotacji infrastruktury, komponenty wspierające omijanie analizy oraz narzędzia do utrzymywania dostępu po skutecznym przejęciu konta. Taki model obniża próg wejścia dla mniej zaawansowanych przestępców i zwiększa skalę zagrożenia dla organizacji korzystających z Microsoft 365.
Analiza techniczna
Technicznie Forg365 łączy kilka etapów w jeden spójny łańcuch ataku. Pierwszym elementem jest dostarczenie wiadomości phishingowej, często stylizowanej na dokument biznesowy, akceptację płatności albo pilny proces operacyjny. Zastosowanie legalnych usług mailingowych i zasobów osadzonych zwiększa wiarygodność przekazu i utrudnia filtrowanie oparte wyłącznie na reputacji domen.
W wariancie device code phishing ofiara jest kierowana do strony podszywającej się pod proces weryfikacji Microsoft. Użytkownik otrzymuje kod i wykonuje czynności, które mogą kończyć się interakcją z prawdziwym interfejsem logowania. To właśnie ten element podnosi skuteczność ataku, ponieważ ofiara ma wrażenie, że przechodzi standardowy proces uwierzytelnienia. W rzeczywistości zatwierdzany kod autoryzuje sesję przygotowaną wcześniej przez napastnika, który uzyskuje token dostępu działający w kontekście zaatakowanego użytkownika.
Drugi scenariusz opiera się na modelu adversary-in-the-middle. Platforma pośredniczy pomiędzy ofiarą a legalną usługą, przechwytując ciasteczka sesyjne, tokeny oraz inne artefakty uwierzytelnienia. Dzięki temu atakujący nie musi znać hasła, jeśli uda mu się przejąć już autoryzowaną sesję.
Forg365 ma również mechanizmy utrudniające analizę i detekcję. Jeśli system uzna, że ruch pochodzi z VPN, skanera bezpieczeństwa lub środowiska analitycznego, może wyświetlić nieszkodliwą treść zamiast właściwej strony phishingowej. Takie podejście ogranicza skuteczność automatycznych sandboxów i spowalnia pracę zespołów reagowania.
Istotnym składnikiem platformy jest także komponent wspierający utrwalanie dostępu w przeglądarkach opartych na Chromium. Opisywane działanie sugeruje półautomatyczne odświeżanie lub ponowne wstrzykiwanie materiału sesyjnego do procesów logowania Microsoft, a następnie przechwytywanie nowych ciasteczek i tokenów. Oznacza to przejście od jednorazowego ataku na poświadczenia do długofalowego zarządzania aktywną sesją ofiary.
Po kompromitacji możliwości Forg365 nie kończą się na samym dostępie do skrzynki. Operatorzy mogą monitorować wiadomości pod kątem określonych słów kluczowych, analizować korespondencję oraz przygotowywać odpowiedzi do wybranych wątków. Z punktu widzenia obrony znacząco zwiększa to ryzyko oszustw typu BEC, lateral phishingu oraz dalszej eskalacji w ramach organizacji.
Konsekwencje / ryzyko
Największe zagrożenie polega na tym, że wiele organizacji nadal traktuje hasło i MFA jako główną linię obrony. W przypadku ataków opartych na przejęciu sesji lub tokenu to założenie przestaje być wystarczające. Jeśli użytkownik zatwierdzi złośliwy device code albo przejdzie przez łańcuch AitM, napastnik może uzyskać dostęp mimo poprawnie wdrożonego wieloskładnikowego uwierzytelniania.
Dla środowisk Microsoft 365 skutki obejmują możliwość nieautoryzowanego dostępu do Outlooka, OneDrive, SharePointa i innych zasobów firmowych. Przejęta skrzynka pocztowa może zostać wykorzystana do wysyłania kolejnych wiadomości phishingowych z zaufanego konta, ukrywania korespondencji, modyfikowania reguł pocztowych lub przejmowania trwających rozmów handlowych i finansowych.
Ryzyko rośnie także w środowiskach, w których nadal funkcjonują stare aliasy, historyczne domeny, relacje forwardingowe albo wyjątki w politykach dostępu warunkowego. Takie elementy ułatwiają budowanie wiarygodnych przynęt i zwiększają prawdopodobieństwo, że wiadomość zostanie potraktowana jako autentyczna komunikacja biznesowa.
Rekomendacje
Podstawowym działaniem obronnym powinno być ograniczenie lub wyłączenie device code flow wszędzie tam, gdzie nie jest niezbędny biznesowo. W środowiskach Microsoft Entra warto wdrożyć odpowiednie polityki Conditional Access i pozostawić wyjątki wyłącznie dla dobrze uzasadnionych przypadków użycia.
- Monitorować logowania pod kątem użycia device code flow i nietypowych sekwencji uwierzytelnienia.
- Analizować nowe sesje, użycie tokenów oraz anomalie po zalogowaniu.
- Regularnie audytować reguły skrzynkowe, forwarding, ukryte reguły i automatyczne odpowiedzi.
- Usuwać nieużywane aliasy, stare domeny i historyczne tożsamości po migracjach lub przejęciach.
- Rozbudować detekcję kampanii nadużywających legalnych usług mailingowych oraz wieloetapowych przekierowań.
- Szkolić użytkowników, że prawdziwy ekran logowania nie zawsze oznacza bezpieczny proces.
- Ograniczać możliwość rejestracji urządzeń i regularnie przeglądać zgody OAuth oraz uprawnienia aplikacyjne.
- Przygotować procedury powłamaniowe obejmujące unieważnianie tokenów, wylogowanie aktywnych sesji i analizę artefaktów pocztowych.
Z perspektywy SOC i zespołów reagowania kluczowe jest odejście od modelu, w którym wykrywanie koncentruje się wyłącznie na kradzieży hasła. Nowoczesna obrona musi obejmować analizę zachowań sesyjnych, źródeł dostępu, operacji na tokenach oraz aktywności po zalogowaniu, zwłaszcza tych związanych z BEC i utrzymywaniem trwałego dostępu.
Podsumowanie
Forg365 pokazuje, że współczesne platformy phishing-as-a-service są coraz bardziej dojrzałe i nie ograniczają się do prostego wyłudzania poświadczeń. Łączą legalne mechanizmy uwierzytelniania, przejęcie sesji, antydetekcję oraz automatyzację działań po kompromitacji, co czyni je szczególnie groźnymi dla organizacji korzystających z Microsoft 365.
Dla firm oznacza to konieczność ochrony nie tylko tożsamości użytkownika, ale całego cyklu życia sesji i tokenu. Najskuteczniejsza odpowiedź obejmuje ograniczenie device code flow, wzmocnienie monitoringu tożsamości oraz szybkie działania powłamaniowe po każdej podejrzanej aktywności w środowisku Microsoft 365.
Źródła
- The Hacker News — Forg365 PhaaS Targets Microsoft 365 with Device Code and AitM Session Theft
- Microsoft Security Blog — Inside an AI-enabled device code phishing campaign
- Microsoft Learn — Authentication flows as a condition in Conditional Access policy
- Microsoft Learn — Protecting Tokens in Microsoft Entra ID
- Microsoft Learn — Authentication flow support in MSAL