Исследователи из ZeroBAC раскрыли детали новой платформы «фишинг как услуга» (PhaaS) под названием Forg365, нацеленной на учётные записи Microsoft 365. Платформа, распространяемая через Telegram по подписке $400 в месяц, объединяет в едином операторском интерфейсе сразу несколько продвинутых техник: фишинг через коды устройств (device code phishing), перехват сессий по схеме «противник посередине» (AitM), обход антибот-защит, генерацию фишинговых приманок с помощью ИИ и автоматизированные действия в скомпрометированных почтовых ящиках. Организациям, использующим Microsoft 365, следует немедленно оценить свою защищённость от device code phishing и проверить политики условного доступа.
Архитектура платформы и цепочка атаки
По данным исследователей, Forg365 представляет собой зрелую операторскую платформу с панелью управления, доступной через открытый интернет (домен logfriend[.]com). Панель предоставляет операторам полный набор инструментов: управление учётными записями, конфигурацию OAuth-приложений, генерацию SVG-элементов, ротацию SMTP-профилей, создание фишинговых писем с помощью ИИ, хранение токенов, мониторинг скомпрометированных аккаунтов по ключевым словам и поддержку браузерных расширений.
Цепочка атаки начинается с фишинговых писем на тему деловых документов или согласования платежей. Для доставки используется легитимная инфраструктура — Amazon SES в качестве отправляющего домена и Twilio SendGrid для хостинга изображений и трекинговых ресурсов в теле письма. Такая схема позволяет фишинговым сообщениям сливаться с обычным почтовым трафиком и проходить через шлюзы безопасности электронной почты (SEG).
Device code phishing: легитимные экраны Microsoft на службе атакующих
Одна из ключевых техник Forg365 — ветка аутентификации через коды устройств. Платформа, как сообщается, отображает жертве страницу ввода кода верификации, стилизованную под Microsoft, и направляет пользователя в легитимный поток аутентификации через Microsoft Authentication Broker. Жертва видит настоящие экраны аутентификации Microsoft, однако введённый код авторизует сессию, контролируемую атакующим. Это делает атаку крайне сложной для обнаружения на стороне пользователя — все визуальные элементы подлинные.
AitM-фишинг с адаптивным поведением
Для перехвата сессий по схеме AitM платформа использует маршрутные токены, сессионные куки и классификацию трафика, чтобы определить, показывать ли посетителю фишинговый контент или безобидную страницу-обманку. При обнаружении VPN-соединения система перенаправляет на нейтральный контент, скрывая фишинговые страницы от исследователей и автоматизированных сканеров.
ForgCookie: устойчивый доступ через браузерное расширение
Особого внимания заслуживает расширение ForgCookie для браузеров на базе Chromium (Google Chrome, Microsoft Edge, Brave). По данным ZeroBAC, расширение обеспечивает «автоматическое обновление SSO-куки для сервисов Microsoft» и работает по следующему алгоритму:
- Запрашивает данные учётной записи с серверной части Forg365
- Обращается к эндпоинту генерации куки для выбранного аккаунта
- Очищает существующие сессионные куки Microsoft
- Внедряет сгенерированную куки с токеном обновления в домен авторизации Microsoft
- Инициирует скрытый OAuth-поток
- Перехватывает результирующие куки Microsoft по всем доменам Microsoft
Фактически ForgCookie превращает разовую компрометацию токена в устойчивый канал доступа к скомпрометированному аккаунту, автоматически обновляя сессию без повторного фишинга.
Постэксплуатация с элементами ИИ
Функциональность Forg365 выходит за рамки сбора учётных данных и токенов. Платформа, как сообщается, поддерживает мониторинг скомпрометированных почтовых ящиков по заданным ключевым словам и генерацию ответов на конкретные цепочки писем с использованием ИИ. Это означает, что атакующие могут автоматизировать перехват деловой переписки (BEC) — одну из наиболее финансово разрушительных форм кибермошенничества.
Экосистема PhaaS: Forg365 в контексте индустриализации фишинга
ZeroBAC описывает Forg365 как часть более широкой экосистемы, включающей платформы Kali365 (также известную как Octopi365 и Freedom365) и Sneaky 2FA. Эта экосистема отражает индустриализацию фишинга: создание приманок, доставка, обход защит, обработка токенов и постэксплуатация объединены в подписной модели, доступной операторам без глубоких технических навыков.
Параллельно с раскрытием Forg365 исследователи зафиксировали ряд связанных кампаний:
- Kali365 — по данным Huntress, платформа поддерживает более 33 различных приманок и включает десктопное приложение OctoLink Live для открытия почтового ящика жертвы через OWA, OneDrive, SharePoint или admin.microsoft.com, а также инструмент OctoLink Sender для массовой рассылки фишинга с взломанных аккаунтов (латеральный фишинг). По данным Arctic Wolf, фишинговые страницы Kali365 также имитируют российский мессенджер MAX.
- EvilTokens — кампания device code phishing, эксплуатирующая устаревшие почтовые псевдонимы. Цепочка перенаправления проходит через трекинговую ссылку Mailjet, скомпрометированный WordPress-сайт, CAPTCHA-интерстициал и хост на Cloudflare Workers — три промежуточных узла инфраструктуры между письмом и самим фишинговым набором.
- The Quarry — PhaaS-платформа стоимостью от $500 до $3 000, по данным SOCRadar, использующая приманки от имени IRS, SSA, Adobe, Microsoft, DocuSign и Dropbox для доставки легитимного ПО удалённого доступа ConnectWise ScreenConnect.
- Nyasher и GPPStorm — фреймворки для захвата аккаунтов Google через поддельные рабочие процессы и фишинговые страницы, использующие blob URL вместо стандартных HTML-документов.
Оценка воздействия
Основная группа риска — организации, использующие Microsoft 365, особенно те, где разрешена аутентификация через коды устройств и сохраняются устаревшие почтовые псевдонимы от предыдущих доменных имён (например, после слияний и поглощений). Подписная модель Forg365 снижает порог входа для атакующих: менее опытные операторы используют готовые шаблоны, а продвинутые — настраивают лендинги, ротируют инфраструктуру и управляют токенами.
Важно учитывать, что большинство утверждений о возможностях Forg365 основаны на отчёте одного исследовательского источника (ZeroBAC) и не подтверждены официальными рекомендациями Microsoft или государственных агентств. Масштаб реального воздействия платформы пока не установлен.
Практические рекомендации
- Заблокируйте аутентификацию через коды устройств (device code flow) в политиках условного доступа Azure AD/Entra ID, если эта функция не требуется для бизнес-процессов
- Проверяйте артефакты почтовых ящиков после событий аутентификации через коды устройств на признаки нетипичной активности — создание правил пересылки, массовое чтение писем, отправка сообщений
- Проведите аудит правил маршрутизации почты (mail-flow rules) на наличие несанкционированных перенаправлений
- Выведите из эксплуатации устаревшие почтовые псевдонимы, которые больше не соответствуют активным сотрудникам, — особенно те, что остались от доменов до слияний и поглощений
- Мониторьте OAuth-приложения, зарегистрированные в тенанте, на предмет подозрительных разрешений и неизвестных издателей
- Проверьте браузерные расширения на рабочих станциях сотрудников — наличие ForgCookie или аналогичных расширений, взаимодействующих с доменами Microsoft, требует немедленного реагирования
Forg365 демонстрирует переход PhaaS-экосистемы от простого сбора паролей к полному циклу компрометации: от доставки фишинга через легитимную инфраструктуру до автоматизированного удержания доступа и ИИ-ассистированного перехвата переписки. Приоритетное действие для защитников — отключение device code flow в Azure AD/Entra ID и аудит устаревших почтовых псевдонимов, которые создают невидимые для SEG пути доставки фишинга в рабочие почтовые ящики.