
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Forg365 to nowo opisana platforma phishing-as-a-service ukierunkowana na przejmowanie kont Microsoft 365. Jej znaczenie wynika z połączenia kilku technik w jednym ekosystemie: phishingu adversary-in-the-middle, nadużycia przepływu device code w OAuth oraz generowania przynęt z użyciem AI.
Taki model działania pokazuje, że współczesny phishing przestał być prostą próbą wyłudzenia hasła. Coraz częściej jest to zautomatyzowana usługa, która wspiera cały łańcuch ataku — od przygotowania wiadomości i infrastruktury po utrzymanie dostępu do przejętego konta.
W skrócie
- Forg365 został zaprojektowany do ataków na użytkowników Microsoft 365.
- Platforma wspiera dwa główne scenariusze: device-code phishing oraz AiTM.
- Operatorzy mogą wykorzystywać AI do generowania treści phishingowych.
- Narzędzie obejmuje również funkcje zarządzania tokenami, kampaniami i przejętymi sesjami.
- Dodatkowe komponenty pozwalają analizować przejęte skrzynki oraz wydłużać czas utrzymania dostępu.
Kontekst / historia
Rynek phishing-as-a-service od lat ewoluuje w kierunku większej automatyzacji i profesjonalizacji. Początkowo dominowały zestawy skupione na klonowaniu stron logowania oraz przechwytywaniu haseł i kodów MFA. Z czasem pojawiły się platformy AiTM, które umożliwiały przejmowanie aktywnych sesji i omijanie części zabezpieczeń wieloskładnikowych.
Forg365 wpisuje się w kolejny etap tej ewolucji. Operator nie otrzymuje już tylko strony phishingowej, ale kompletne środowisko do prowadzenia kampanii, monitorowania efektów, zarządzania tokenami i rozwijania działań po przejęciu konta. To istotna zmiana jakościowa, ponieważ obniża próg wejścia dla cyberprzestępców i zwiększa skalę możliwych operacji.
Ważnym elementem tła jest też rosnąca popularność ataków wykorzystujących device code phishing. W tym modelu napastnik nie musi kraść hasła bezpośrednio. Zamiast tego skłania ofiarę do autoryzowania kontrolowanego przez atakującego urządzenia lub aplikacji w legalnym przepływie OAuth, co utrudnia wykrywanie incydentu.
Analiza techniczna
Z technicznego punktu widzenia Forg365 działa jako rozbudowana platforma operatorska służąca do tworzenia i prowadzenia kampanii phishingowych przeciwko kontom Microsoft 365. Panel administracyjny ma umożliwiać przygotowanie kampanii, konfigurację aplikacji OAuth, zarządzanie linkami phishingowymi, profilami SMTP, tokenami oraz tworzenie wiadomości z pomocą AI.
Integracja funkcji AI bezpośrednio w panelu ma znaczenie operacyjne. Skraca czas przygotowania przynęt, ułatwia personalizację treści i pozwala szybciej dostosować komunikat do konkretnej ofiary, działu lub organizacji. W praktyce oznacza to wzrost skuteczności kampanii bez konieczności angażowania bardziej zaawansowanych kompetencji językowych czy socjotechnicznych.
Platforma ma również wykorzystywać legalne usługi pocztowe i elementy hostowane w zaufanych ekosystemach. Dzięki temu ruch atakującego może mieszać się z normalnym ruchem biznesowym, co poprawia dostarczalność wiadomości i utrudnia blokowanie kampanii wyłącznie na podstawie reputacji infrastruktury.
Pierwszy z opisywanych scenariuszy to device-code phishing. Ofiara otrzymuje stronę lub komunikat stylizowany na proces weryfikacji Microsoft i jest proszona o użycie kodu urządzenia. W efekcie użytkownik sam autoryzuje dostęp w legalnym przepływie OAuth 2.0 device authorization, a napastnik uzyskuje możliwość działania w kontekście konta bez potrzeby poznania hasła.
Drugi scenariusz to klasyczny atak adversary-in-the-middle. W tym modelu platforma działa jako pośrednik między ofiarą a prawdziwą usługą logowania Microsoft, przechwytując żądania i odpowiedzi. Pozwala to pozyskać tokeny i cookies sesyjne, co w praktyce może prowadzić do obejścia części mechanizmów MFA po poprawnym uwierzytelnieniu użytkownika.
Szczególnie groźnym elementem jest opisywane rozszerzenie przeglądarki ForgCookie, zgodne z przeglądarkami opartymi na Chromium. Jego zadaniem ma być automatyczne odświeżanie cookies SSO Microsoft przez pobieranie danych konta z zaplecza platformy, czyszczenie sesyjnych cookies i uruchamianie cichego przepływu OAuth. Taki mechanizm może znacząco wydłużyć żywotność przejętego dostępu.
Forg365 ma również oferować funkcje analizy przejętych kont, w tym dashboard wywiadowczy oraz monitoring słów kluczowych w skrzynkach pocztowych. To sugeruje, że narzędzie nie służy jedynie do jednorazowego przejęcia dostępu, ale wspiera także dalszą eksfiltrację danych, identyfikowanie wartościowej korespondencji i przygotowanie kolejnych etapów ataku, takich jak BEC czy nadużycia w usługach SaaS.
Dodatkowo opisywane są funkcje AntiBot, obejmujące wykrywanie środowisk analitycznych, sandboxów oraz użytkowników korzystających z VPN. Z perspektywy obrońców oznacza to trudniejszą analizę infrastruktury phishingowej i większą selektywność prezentowania złośliwych treści.
Konsekwencje / ryzyko
Najpoważniejszym zagrożeniem związanym z Forg365 jest możliwość skutecznego przejmowania dostępu do środowisk Microsoft 365 bez klasycznej kradzieży hasła. To istotnie zwiększa szansę obejścia tradycyjnych mechanizmów ochronnych, zwłaszcza tam, gdzie bezpieczeństwo nadal opiera się głównie na MFA i detekcji logowań opartych o dane uwierzytelniające.
Przejęte konto Microsoft 365 może zapewnić napastnikowi dostęp do poczty, dokumentów, kontaktów, kalendarzy, komunikacji zespołowej i danych biznesowych. W środowisku firmowym oznacza to ryzyko wycieku informacji, oszustw finansowych, przejęcia korespondencji kierownictwa, nadużyć zgód OAuth oraz utrwalenia dostępu przez tokeny i reguły skrzynkowe.
Wysokie ryzyko wynika także z połączenia automatyzacji i skalowalności. AI obniża koszt przygotowania przekonujących wiadomości, legalne usługi chmurowe zwiększają skuteczność dostarczenia, a komponenty post-compromise wydłużają czas życia ataku. W efekcie nawet mniej zaawansowani operatorzy mogą prowadzić kampanie o jakości zbliżonej do działań bardziej doświadczonych grup.
Rekomendacje
Organizacje korzystające z Microsoft 365 powinny przeanalizować, czy uwierzytelnianie device code jest rzeczywiście potrzebne biznesowo. Tam, gdzie nie jest wymagane, jego ograniczenie lub wyłączenie może znacząco zmniejszyć powierzchnię ataku.
Kluczowe jest również monitorowanie logów Microsoft Entra pod kątem zdarzeń związanych z device-code authentication, nietypowych zgód OAuth, nowych logowań urządzeń oraz aktywności brokera uwierzytelniania. Wysoką wartość detekcyjną mają także nieoczekiwane reguły skrzynkowe, przekierowania poczty oraz anomalie sesyjne powiązane z tokenami i cookies.
Z perspektywy bezpieczeństwa poczty warto wzmacniać mechanizmy analizy behawioralnej i kontekstowej. Kampanie wykorzystujące legalne platformy dostarczania wiadomości mogą skuteczniej omijać tradycyjne filtry bazujące wyłącznie na reputacji domen lub infrastruktury nadawczej.
W przypadku incydentu należy szybko unieważnić aktywne sesje i tokeny, przeanalizować nadane zgody aplikacyjne, sprawdzić zainstalowane rozszerzenia przeglądarki oraz skontrolować skrzynki pocztowe pod kątem reguł ukrywających lub przekierowujących wiadomości. Ważne jest też ustalenie, czy przejęte konto zostało użyte do wtórnych ataków wewnętrznych lub zewnętrznych.
Nie można pomijać edukacji użytkowników. Szkolenia powinny obejmować nie tylko fałszywe strony logowania, ale również scenariusze, w których pracownik jest proszony o wpisanie kodu urządzenia albo zatwierdzenie nietypowego procesu autoryzacji.
Podsumowanie
Forg365 pokazuje, że phishing wymierzony w Microsoft 365 staje się coraz bardziej modułowy, zautomatyzowany i odporny na podstawowe mechanizmy ochronne. Połączenie device-code phishingu, AiTM, generowania przynęt przez AI oraz narzędzi do utrzymywania sesji tworzy niebezpieczne środowisko dla operatorów PhaaS.
Dla zespołów bezpieczeństwa oznacza to konieczność szerszego monitorowania przepływów OAuth, tokenów i aktywności po uwierzytelnieniu, a nie tylko samego procesu logowania. Skuteczna obrona przed takimi kampaniami wymaga zmian konfiguracyjnych w Microsoft 365, dojrzałego monitoringu, szybkiej reakcji na incydenty i stałego podnoszenia świadomości użytkowników.
Źródła
- BleepingComputer — New Forg365 phishing platform uses AI to target Microsoft 365 accounts — https://www.bleepingcomputer.com/news/security/new-forg365-phishing-platform-uses-ai-to-target-microsoft-365-accounts/