Mastodon Mastodon Mastodon Mastodon

Forg365 — как подписная фишинговая платформа объединяет ИИ, обход MFA и постэксплуатацию

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Исследователи из ZeroBAC раскрыли детали новой платформы «фишинг как услуга» (PhaaS) под названием Forg365, нацеленной на учётные записи Microsoft 365. Платформа, распространяемая через Telegram по подписке $400 в месяц, объединяет в едином операторском интерфейсе сразу несколько продвинутых техник: фишинг через коды устройств (device code phishing), перехват сессий по схеме «противник посередине» (AitM), обход антибот-защит, генерацию фишинговых приманок с помощью ИИ и автоматизированные действия в скомпрометированных почтовых ящиках. Организациям, использующим Microsoft 365, следует немедленно оценить свою защищённость от device code phishing и проверить политики условного доступа.

Архитектура платформы и цепочка атаки

По данным исследователей, Forg365 представляет собой зрелую операторскую платформу с панелью управления, доступной через открытый интернет (домен logfriend[.]com). Панель предоставляет операторам полный набор инструментов: управление учётными записями, конфигурацию OAuth-приложений, генерацию SVG-элементов, ротацию SMTP-профилей, создание фишинговых писем с помощью ИИ, хранение токенов, мониторинг скомпрометированных аккаунтов по ключевым словам и поддержку браузерных расширений.

Цепочка атаки начинается с фишинговых писем на тему деловых документов или согласования платежей. Для доставки используется легитимная инфраструктура — Amazon SES в качестве отправляющего домена и Twilio SendGrid для хостинга изображений и трекинговых ресурсов в теле письма. Такая схема позволяет фишинговым сообщениям сливаться с обычным почтовым трафиком и проходить через шлюзы безопасности электронной почты (SEG).

Device code phishing: легитимные экраны Microsoft на службе атакующих

Одна из ключевых техник Forg365 — ветка аутентификации через коды устройств. Платформа, как сообщается, отображает жертве страницу ввода кода верификации, стилизованную под Microsoft, и направляет пользователя в легитимный поток аутентификации через Microsoft Authentication Broker. Жертва видит настоящие экраны аутентификации Microsoft, однако введённый код авторизует сессию, контролируемую атакующим. Это делает атаку крайне сложной для обнаружения на стороне пользователя — все визуальные элементы подлинные.

AitM-фишинг с адаптивным поведением

Для перехвата сессий по схеме AitM платформа использует маршрутные токены, сессионные куки и классификацию трафика, чтобы определить, показывать ли посетителю фишинговый контент или безобидную страницу-обманку. При обнаружении VPN-соединения система перенаправляет на нейтральный контент, скрывая фишинговые страницы от исследователей и автоматизированных сканеров.

ForgCookie: устойчивый доступ через браузерное расширение

Особого внимания заслуживает расширение ForgCookie для браузеров на базе Chromium (Google Chrome, Microsoft Edge, Brave). По данным ZeroBAC, расширение обеспечивает «автоматическое обновление SSO-куки для сервисов Microsoft» и работает по следующему алгоритму:

  • Запрашивает данные учётной записи с серверной части Forg365
  • Обращается к эндпоинту генерации куки для выбранного аккаунта
  • Очищает существующие сессионные куки Microsoft
  • Внедряет сгенерированную куки с токеном обновления в домен авторизации Microsoft
  • Инициирует скрытый OAuth-поток
  • Перехватывает результирующие куки Microsoft по всем доменам Microsoft

Фактически ForgCookie превращает разовую компрометацию токена в устойчивый канал доступа к скомпрометированному аккаунту, автоматически обновляя сессию без повторного фишинга.

Постэксплуатация с элементами ИИ

Функциональность Forg365 выходит за рамки сбора учётных данных и токенов. Платформа, как сообщается, поддерживает мониторинг скомпрометированных почтовых ящиков по заданным ключевым словам и генерацию ответов на конкретные цепочки писем с использованием ИИ. Это означает, что атакующие могут автоматизировать перехват деловой переписки (BEC) — одну из наиболее финансово разрушительных форм кибермошенничества.

Экосистема PhaaS: Forg365 в контексте индустриализации фишинга

ZeroBAC описывает Forg365 как часть более широкой экосистемы, включающей платформы Kali365 (также известную как Octopi365 и Freedom365) и Sneaky 2FA. Эта экосистема отражает индустриализацию фишинга: создание приманок, доставка, обход защит, обработка токенов и постэксплуатация объединены в подписной модели, доступной операторам без глубоких технических навыков.

Параллельно с раскрытием Forg365 исследователи зафиксировали ряд связанных кампаний:

  • Kali365 — по данным Huntress, платформа поддерживает более 33 различных приманок и включает десктопное приложение OctoLink Live для открытия почтового ящика жертвы через OWA, OneDrive, SharePoint или admin.microsoft.com, а также инструмент OctoLink Sender для массовой рассылки фишинга с взломанных аккаунтов (латеральный фишинг). По данным Arctic Wolf, фишинговые страницы Kali365 также имитируют российский мессенджер MAX.
  • EvilTokensкампания device code phishing, эксплуатирующая устаревшие почтовые псевдонимы. Цепочка перенаправления проходит через трекинговую ссылку Mailjet, скомпрометированный WordPress-сайт, CAPTCHA-интерстициал и хост на Cloudflare Workers — три промежуточных узла инфраструктуры между письмом и самим фишинговым набором.
  • The Quarry — PhaaS-платформа стоимостью от $500 до $3 000, по данным SOCRadar, использующая приманки от имени IRS, SSA, Adobe, Microsoft, DocuSign и Dropbox для доставки легитимного ПО удалённого доступа ConnectWise ScreenConnect.
  • Nyasher и GPPStormфреймворки для захвата аккаунтов Google через поддельные рабочие процессы и фишинговые страницы, использующие blob URL вместо стандартных HTML-документов.

Оценка воздействия

Основная группа риска — организации, использующие Microsoft 365, особенно те, где разрешена аутентификация через коды устройств и сохраняются устаревшие почтовые псевдонимы от предыдущих доменных имён (например, после слияний и поглощений). Подписная модель Forg365 снижает порог входа для атакующих: менее опытные операторы используют готовые шаблоны, а продвинутые — настраивают лендинги, ротируют инфраструктуру и управляют токенами.

Важно учитывать, что большинство утверждений о возможностях Forg365 основаны на отчёте одного исследовательского источника (ZeroBAC) и не подтверждены официальными рекомендациями Microsoft или государственных агентств. Масштаб реального воздействия платформы пока не установлен.

Практические рекомендации

  • Заблокируйте аутентификацию через коды устройств (device code flow) в политиках условного доступа Azure AD/Entra ID, если эта функция не требуется для бизнес-процессов
  • Проверяйте артефакты почтовых ящиков после событий аутентификации через коды устройств на признаки нетипичной активности — создание правил пересылки, массовое чтение писем, отправка сообщений
  • Проведите аудит правил маршрутизации почты (mail-flow rules) на наличие несанкционированных перенаправлений
  • Выведите из эксплуатации устаревшие почтовые псевдонимы, которые больше не соответствуют активным сотрудникам, — особенно те, что остались от доменов до слияний и поглощений
  • Мониторьте OAuth-приложения, зарегистрированные в тенанте, на предмет подозрительных разрешений и неизвестных издателей
  • Проверьте браузерные расширения на рабочих станциях сотрудников — наличие ForgCookie или аналогичных расширений, взаимодействующих с доменами Microsoft, требует немедленного реагирования

Forg365 демонстрирует переход PhaaS-экосистемы от простого сбора паролей к полному циклу компрометации: от доставки фишинга через легитимную инфраструктуру до автоматизированного удержания доступа и ИИ-ассистированного перехвата переписки. Приоритетное действие для защитников — отключение device code flow в Azure AD/Entra ID и аудит устаревших почтовых псевдонимов, которые создают невидимые для SEG пути доставки фишинга в рабочие почтовые ящики.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.