Mastodon Mastodon Mastodon Mastodon

Forg365 und ForgCookie: PhaaS-Angriffe auf Microsoft‑365-Konten

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Forschende von ZeroBAC haben Details offengelegt zu einer neuen Plattform „Phishing as a Service“ (PhaaS) namens Forg365, die auf Microsoft-365-Konten abzielt. Die über Telegram zu einem Abonnementpreis von 400 US‑Dollar pro Monat vertriebene Plattform bündelt in einer einzigen Operatoroberfläche mehrere fortgeschrittene Techniken: device code phishing, Sitzungsübernahme nach dem Schema „Gegner in der Mitte“ (AitM), Umgehung von Anti‑Bot‑Schutzmechanismen, Generierung von Phishing-Ködern mittels KI sowie automatisierte Aktionen in kompromittierten Postfächern. Organisationen, die Microsoft 365 einsetzen, sollten umgehend ihre Widerstandsfähigkeit gegenüber device code phishing bewerten und die Richtlinien für bedingten Zugriff überprüfen.

Architektur der Plattform und Angriffskette

Den Forschenden zufolge handelt es sich bei Forg365 um eine ausgereifte Operatorplattform mit einem über das offene Internet zugänglichen Dashboard (Domain logfriend[.]com). Die Konsole stellt den Operatoren einen vollständigen Werkzeugsatz bereit: Verwaltung von Konten, Konfiguration von OAuth-Anwendungen, Generierung von SVG-Elementen, Rotation von SMTP-Profilen, Erstellung von Phishing-E-Mails mittels KI, Token-Speicherung, Monitoring kompromittierter Accounts anhand von Schlüsselwörtern sowie Unterstützung für Browser-Erweiterungen.

Die Angriffskette beginnt mit Phishing-E-Mails zu geschäftlichen Dokumenten oder Zahlungsfreigaben. Für die Zustellung wird legitime Infrastruktur genutzt – Amazon SES als sendende Domain und Twilio SendGrid für das Hosten von Bildern und Tracking-Ressourcen im E-Mail-Text. Dieses Vorgehen lässt die Phishing-Nachrichten im regulären E-Mail-Verkehr untergehen und erleichtert das Passieren von E-Mail-Sicherheits-Gateways (SEG).

Device code phishing: legitime Microsoft-Oberflächen im Dienst der Angreifer

Eine der zentralen Techniken von Forg365 ist der Authentifizierungsablauf über Gerätecodes. Die Plattform zeigt dem Opfer laut Bericht eine Eingabeseite für den Verifizierungscode an, die im Microsoft-Design gehalten ist, und leitet die Person dann in einen legitimen Authentifizierungsfluss über den Microsoft Authentication Broker. Das Opfer sieht echte Microsoft-Anmeldeseiten, der eingegebene Code autorisiert jedoch eine Sitzung, die vom Angreifenden kontrolliert wird. Dadurch ist die Attacke auf Anwenderseite äußerst schwer zu erkennen – alle visuellen Elemente sind echt.

AitM-Phishing mit adaptivem Verhalten

Für die Sitzungsübernahme nach dem AitM-Schema nutzt die Plattform Routing-Tokens, Sitzungscookies und eine Verkehrsklassifizierung, um zu entscheiden, ob einem Besuchenden Phishing-Inhalte oder eine harmlose Tarnseite angezeigt werden. Bei Erkennung einer VPN-Verbindung leitet das System auf neutralen Inhalt um und verbirgt so die Phishing-Seiten vor Forschenden und automatisierten Scannern.

ForgCookie: Persistenter Zugriff über eine Browser-Erweiterung

Besondere Aufmerksamkeit verdient die Erweiterung ForgCookie für Chromium-basierte Browser (Google Chrome, Microsoft Edge, Brave). Nach Angaben von ZeroBAC sorgt die Erweiterung für eine „automatische Aktualisierung von SSO-Cookies für Microsoft-Dienste“ und arbeitet nach folgendem Algorithmus:

  • Fordert Kontodaten von der Serverkomponente von Forg365 an
  • Ruft den Endpunkt zur Cookie-Generierung für das ausgewählte Konto auf
  • Löscht bestehende Microsoft-Sitzungscookies
  • Injiziert das generierte Cookie mit Refresh-Token in die Microsoft-Authentifizierungsdomain
  • Startet einen verdeckten OAuth-Flow
  • Fängt die resultierenden Microsoft-Cookies über alle Microsoft-Domains hinweg ab

Faktisch verwandelt ForgCookie eine einmalige Token-Kompromittierung in einen dauerhaften Zugriffskanal auf das kompromittierte Konto, indem die Sitzung automatisch aktualisiert wird, ohne dass erneutes Phishing erforderlich ist.

Post-Exploitation mit KI-Komponenten

Die Funktionalität von Forg365 geht über das Sammeln von Zugangsdaten und Tokens hinaus. Die Plattform unterstützt dem Vernehmen nach das Monitoring kompromittierter Postfächer anhand definierter Schlüsselwörter und die Generierung von Antworten auf bestimmte E-Mail-Ketten mithilfe von KI. Das bedeutet, dass Angreifende die Übernahme geschäftlicher Korrespondenz (Business Email Compromise, BEC) automatisieren können – eine der finanziell verheerendsten Formen des Cyberbetrugs.

PhaaS-Ökosystem: Forg365 im Kontext der Industrialisierung von Phishing

ZeroBAC beschreibt Forg365 als Teil eines größeren Ökosystems, zu dem die Plattformen Kali365 (auch bekannt als Octopi365 und Freedom365) und Sneaky 2FA gehören. Dieses Ökosystem spiegelt die Industrialisierung von Phishing wider: Ködererstellung, Zustellung, Umgehung von Schutzmechanismen, Token-Verarbeitung und Post-Exploitation werden in einem Abonnementmodell gebündelt, das Operatoren auch ohne tiefgehende technische Kenntnisse offensteht.

Parallel zur Offenlegung von Forg365 beobachteten die Forschenden mehrere zusammenhängende Kampagnen:

  • Kali365 – nach Angaben von Huntress unterstützt die Plattform mehr als 33 unterschiedliche Köder und umfasst die Desktop-Anwendung OctoLink Live, um das Postfach des Opfers über OWA, OneDrive, SharePoint oder admin.microsoft.com zu öffnen, sowie das Tool OctoLink Sender für den massenhaften Phishing-Versand aus kompromittierten Konten (laterales Phishing). Laut Arctic Wolf imitieren die Phishing-Seiten von Kali365 zudem den russischen Messenger MAX.
  • EvilTokens – eine device code phishing-Kampagne, die veraltete E-Mail-Aliasse ausnutzt. Die Weiterleitungskette führt über einen Mailjet-Tracking-Link, eine kompromittierte WordPress-Seite, ein CAPTCHA-Interstitial und einen Host auf Cloudflare Workers – drei Zwischenknoten in der Infrastruktur zwischen der E-Mail und dem eigentlichen Phishing-Kit.
  • The Quarry – eine PhaaS-Plattform mit Preisen von 500 bis 3.000 US‑Dollar, die laut SOCRadar Köder im Namen von IRS, SSA, Adobe, Microsoft, DocuSign und Dropbox nutzt, um die legitime Remote-Access-Software ConnectWise ScreenConnect bereitzustellen.
  • Nyasher und GPPStormFrameworks zur Übernahme von Google-Konten über gefälschte Workflows und Phishing-Seiten, die blob-URLs anstelle herkömmlicher HTML-Dokumente verwenden.

Bewertung der Auswirkungen

Die primäre Risikogruppe sind Organisationen, die Microsoft 365 einsetzen, insbesondere dort, wo die Authentifizierung über Gerätecodes erlaubt ist und veraltete E-Mail-Aliasse früherer Domänennamen fortbestehen (zum Beispiel nach Fusionen und Übernahmen). Das Abonnementmodell von Forg365 senkt die Einstiegshürde für Angreifende: weniger erfahrene Operatoren nutzen fertige Templates, während fortgeschrittene Akteure Landingpages anpassen, Infrastruktur rotieren und Tokens verwalten.

Wichtig zu beachten ist, dass die meisten Aussagen zu den Fähigkeiten von Forg365 auf dem Bericht einer einzigen Forschungsquelle (ZeroBAC) beruhen und nicht durch offizielle Empfehlungen von Microsoft oder staatlichen Stellen bestätigt sind. Das tatsächliche Ausmaß der Auswirkungen der Plattform ist bislang nicht geklärt.

Praktische Empfehlungen

  • Blockieren Sie die Authentifizierung über Gerätecodes (device code flow) in den Richtlinien für bedingten Zugriff von Azure AD/Entra ID, sofern diese Funktion nicht für Geschäftsprozesse erforderlich ist
  • Überprüfen Sie Postfachartefakte nach Authentifizierungsereignissen über Gerätecodes auf Anzeichen ungewöhnlicher Aktivitäten – Erstellung von Weiterleitungsregeln, massenhaftes Lesen von E-Mails, Versand von Nachrichten
  • Führen Sie ein Audit der Mailflow-Regeln (mail-flow rules) durch, um nicht autorisierte Weiterleitungen zu identifizieren
  • Nehmen Sie veraltete E-Mail-Aliasse außer Betrieb, die keinen aktiven Mitarbeitenden mehr zugeordnet sind – insbesondere solche, die von Domänen vor Fusionen und Übernahmen übrig geblieben sind
  • Überwachen Sie OAuth-Anwendungen, die im Tenant registriert sind, auf verdächtige Berechtigungen und unbekannte Herausgeber
  • Überprüfen Sie Browser-Erweiterungen auf den Arbeitsstationen der Mitarbeitenden – das Vorhandensein von ForgCookie oder ähnlichen Erweiterungen, die mit Microsoft-Domains interagieren, erfordert sofortige Reaktion

Forg365 verdeutlicht den Übergang der PhaaS-Ökosysteme von einfachem Passwortdiebstahl hin zu einem vollständigen Kompromittierungszyklus: von der Phishing-Zustellung über legitime Infrastruktur bis hin zur automatisierten Aufrechterhaltung des Zugriffs und dem KI-gestützten Abfangen von Korrespondenz. Vorrangige Maßnahmen für Verteidigende sind die Deaktivierung des device code flow in Azure AD/Entra ID und das Audit veralteter E-Mail-Aliasse, die unsichtbare Zustellpfade für Phishing in produktive Postfächer schaffen und von SEG-Lösungen nicht erkannt werden.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.