一个通过 Telegram 传播的新型网络钓鱼即服务平台正在降低微软 365 账户接管攻击的技术门槛,使技术能力较弱的攻击者也能利用自动化工具绕过部分身份验证控制,并在入侵后持续保有访问权限。
据安全公司 ZeroBEC 发布的研究报告,该平台名为 Forg365,结合了生成式 AI 辅助诱饵生成、设备代码滥用以及中间人攻击等技术手段。
研究人员表示,Forg365 提供五天免费试用期,之后的订阅价格为每月 400 美元或每年 3800 美元。
用户可通过单一操作面板构建钓鱼诱饵并控制邮件投递,同时管理捕获的账户数据、监控被攻陷的微软 365 邮箱。该服务还内置了模仿 DocuSign、Adobe Acrobat Sign、SharePoint 和 OneDrive 等主流商业平台的模板。
Omdia 托管安全服务高级分析师 Jonathan Ong 表示:"网络钓鱼即服务已存在多年,但 Forg365 将生成式 AI 深度融入其中并赋能用户的程度,才是令人担忧的关键所在。"
网络安全研究员 Devashri Datta 指出,Forg365 的重要性在于其对操作流程的工业化与产品化。"它将生成式 AI 辅助诱饵创建、规避检测以及入侵后的邮箱操控集成为一项订阅服务,并通过 Telegram 进行分发。"
ZeroBEC 调查的攻击活动以一封以业务文件和汇款审批为幌子的电子邮件开始。该邮件借助合法的云服务和电子邮件服务进行传递,引导收件人经历多次跳转重定向。
Forg365 会先对访客进行分类,再决定显示设备代码钓鱼页面、发起中间人攻击流程,还是跳转到一个无害的诱饵页面。
在设备代码攻击中,受害者被引导至微软的合法身份验证流程,并被诱导输入一个授权攻击者控制的会话所需的代码。由于整个过程涉及真实的微软基础设施,请求看起来颇为可信。
该平台还可通过中间人攻击中继身份验证并截获会话信息。ZeroBEC 表示,可疑访客会被转移至良性页面,帮助攻击者对研究人员和自动化安全工具隐藏钓鱼流程。
ZeroBEC 表示,Forg365 还提供一款名为 ForgCookie 的浏览器扩展,使攻击者能够从自己的浏览器中生成并刷新微软单点登录 Cookie。
此外,Forg365 还宣传了用于维持会话活跃和监控被入侵邮箱的工具,被入侵邮箱的只读访问权限可通过设有密码保护的链接共享。
这意味着,仅重置密码未必能将攻击者驱逐出去——被盗的刷新令牌或攻击者控制的会话,在密码更改后仍可能继续有效。此外,还必须对入侵期间注册的所有设备进行排查。
Datta 表示:"CISO 应将两项控制措施视为同等优先级,而非按先后顺序推进,"她指的是严格限制设备代码身份验证,以及部署 FIDO2 或 WebAuthn 通行密钥等抗钓鱼多因素身份验证(MFA)措施。
Confidis 创始人兼首席执行官 Keith Prabhu 表示,对于不需要使用设备代码身份验证的组织,应考虑在微软 Entra ID 中将其封禁。此举可有效阻断 Forg365 攻击活动中的设备代码攻击路径,但无法防御依赖中间人技术或会话 Cookie 窃取的攻击。
对于仍依赖设备代码身份验证的企业,应在实施更大范围限制之前,先梳理出合法使用场景。某些命令行工具、会议室系统或其他输入能力有限的设备,可能需要设置例外。
Datta 还指出,部署抗钓鱼身份验证可能需要配备硬件安全密钥或受管理的智能手机,并可能在过渡期间增加支持请求量。
发现入侵后,响应团队应立即撤销活跃的刷新令牌并终止现有会话。Prabhu 还建议审查并撤销未经授权的 OAuth 权限。由于 ForgCookie 在攻击者的浏览器中运行,ZeroBEC 建议防御人员重点关注来自陌生地址的反复静默登录以及非交互式微软 Graph 活动。
Prabhu 表示,应检查邮箱转发规则和委托访问权限是否存在未经授权的修改,此类修改可能使攻击者在密码重置后仍能监控通信或保持访问权限。
Datta 表示:"事件响应团队应审计新注册的设备,并移除任何无法归属至对应用户的设备。"她还补充道,团队还应核查攻击者是否在入侵期间注册了未经授权的身份验证器应用或通行密钥。
ZeroBEC 发现,其调查期间注册的部分设备名称以"Forg365"开头,这为防御人员提供了一个可能的入侵指标。
Q&A
Q1:Forg365 是什么?它是如何运作的?
A:Forg365 是一个通过 Telegram 传播的网络钓鱼即服务平台,专门针对微软 365 账户。它集成了生成式 AI 辅助诱饵生成、设备代码滥用和中间人攻击等技术,允许攻击者绕过身份验证控制并在入侵后持续保持访问权限。用户可通过订阅服务获取操作面板、模板和工具,价格为每月 400 美元或每年 3800 美元。
Q2:Forg365 攻击后仅重置密码能解决问题吗?
A:不能。仅重置密码无法完全清除 Forg365 带来的威胁。攻击者可能通过被盗的刷新令牌、ForgCookie 浏览器扩展或入侵期间注册的设备继续保持访问权限。响应团队需要撤销所有活跃刷新令牌、终止现有会话、审查 OAuth 权限、检查邮箱转发规则,并审计和移除无法归属至用户的已注册设备。
Q3:企业应如何防范 Forg365 这类钓鱼攻击?
A:安全专家建议采取以下措施:在微软 Entra ID 中封禁不必要的设备代码身份验证;部署 FIDO2 或 WebAuthn 通行密钥等抗钓鱼 MFA;监控来自陌生地址的静默登录和非交互式 Graph 活动;定期审查邮箱转发规则与委托访问权限;同时关注名称以"Forg365"开头的已注册设备作为入侵指标。