Дослідники з ZeroBAC розкрили деталі нової платформи «фішинг як послуга» (PhaaS) під назвою Forg365, націленої на облікові записи Microsoft 365. Платформа, що розповсюджується через Telegram за підпискою $400 на місяць, поєднує в єдиному операторському інтерфейсі одразу кілька просунутих технік: фішинг через device code (device code phishing), перехоплення сесій за схемою «противник посередині» (AitM), обхід антибот-захистів, генерацію фішингових приманок за допомогою ШІ та автоматизовані дії у скомпрометованих поштових скриньках. Організаціям, які використовують Microsoft 365, слід негайно оцінити свою захищеність від device code phishing і перевірити політики умовного доступу.
Архітектура платформи та ланцюжок атаки
За даними дослідників, Forg365 є зрілою операторською платформою з панеллю керування, доступною через відкритий інтернет (домен logfriend[.]com). Панель надає операторам повний набір інструментів: керування обліковими записами, конфігурацію OAuth-додатків, генерацію SVG-елементів, ротацію SMTP-профілів, створення фішингових листів за допомогою ШІ, зберігання токенів, моніторинг скомпрометованих акаунтів за ключовими словами та підтримку браузерних розширень.
Ланцюжок атаки починається з фішингових листів на тему ділових документів або погодження платежів. Для доставки використовується легітимна інфраструктура — Amazon SES як відправний домен і Twilio SendGrid для хостингу зображень і трекінгових ресурсів у тілі листа. Така схема дозволяє фішинговим повідомленням зливатися зі звичайним поштовим трафіком і проходити крізь шлюзи безпеки електронної пошти (SEG).
Device code phishing: легітимні екрани Microsoft на службі зловмисників
Одна з ключових технік Forg365 — гілка аутентифікації через device code. Платформа, за повідомленнями, показує жертві сторінку введення коду верифікації, стилізовану під Microsoft, і спрямовує користувача в легітимний потік аутентифікації через Microsoft Authentication Broker. Жертва бачить справжні екрани аутентифікації Microsoft, однак введений код авторизує сесію, яку контролює зловмисник. Це робить атаку вкрай складною для виявлення з боку користувача — усі візуальні елементи справжні.
AitM-фішинг з адаптивною поведінкою
Для перехоплення сесій за схемою AitM платформа використовує маршрутні токени, сесійні cookie та класифікацію трафіку, щоб визначити, показувати відвідувачу фішинговий контент чи безпечну сторінку-відволікання. У разі виявлення VPN-з’єднання система перенаправляє на нейтральний контент, приховуючи фішингові сторінки від дослідників та автоматизованих сканерів.
ForgCookie: стійкий доступ через браузерне розширення
На окрему увагу заслуговує розширення ForgCookie для браузерів на базі Chromium (Google Chrome, Microsoft Edge, Brave. За даними ZeroBAC, розширення забезпечує «автоматичне оновлення SSO-cookie для сервісів Microsoft» і працює за таким алгоритмом:
- Запитує дані облікового запису з серверної частини Forg365
- Звертається до endpoint-у генерації cookie для вибраного акаунта
- Очищує наявні сесійні cookie Microsoft
- Впроваджує згенеровану cookie з refresh-токеном у домен авторизації Microsoft
- Ініціює прихований OAuth-потік
- Перехоплює підсумкові cookie Microsoft по всіх доменах Microsoft
Фактично ForgCookie перетворює разову компрометацію токена на стійкий канал доступу до скомпрометованого акаунта, автоматично оновлюючи сесію без повторного фішингу.
Постексплуатація з елементами ШІ
Функціональність Forg365 виходить за рамки збирання облікових даних і токенів. Платформа, за повідомленнями, підтримує моніторинг скомпрометованих поштових скриньок за заданими ключовими словами та генерацію відповідей на конкретні ланцюжки листування з використанням ШІ. Це означає, що зловмисники можуть автоматизувати перехоплення ділової кореспонденції (BEC) — однієї з найфінансово руйнівніших форм кібершахрайства.
Екосистема PhaaS: Forg365 у контексті індустріалізації фішингу
ZeroBAC описує Forg365 як частину ширшої екосистеми, що включає платформи Kali365 (також відому як Octopi365 і Freedom365) та Sneaky 2FA. Ця екосистема відображає індустріалізацію фішингу: створення приманок, доставка, обхід захистів, обробка токенів і постексплуатація об’єднані в підписну модель, доступну операторам без глибоких технічних навичок.
Паралельно з розкриттям Forg365 дослідники зафіксували низку пов’язаних кампаній:
- Kali365 — за даними Huntress, платформа підтримує понад 33 різні приманки та включає десктопний застосунок OctoLink Live для відкриття поштової скриньки жертви через OWA, OneDrive, SharePoint або admin.microsoft.com, а також інструмент OctoLink Sender для масової розсилки фішингу зі зламаних акаунтів (латеральний фішинг). За даними Arctic Wolf, фішингові сторінки Kali365 також імітують російський месенджер MAX.
- EvilTokens — кампанія device code phishing, що експлуатує застарілі поштові псевдоніми. Ланцюжок перенаправлень проходить через трекінгове посилання Mailjet, скомпрометований сайт на WordPress, CAPTCHA-інтерстиціал і хост на Cloudflare Workers — три проміжні вузли інфраструктури між листом і самим фішинговим набором.
- The Quarry — PhaaS-платформа вартістю від $500 до $3 000, за даними SOCRadar, що використовує приманки від імені IRS, SSA, Adobe, Microsoft, DocuSign і Dropbox для доставки легітимного програмного забезпечення віддаленого доступу ConnectWise ScreenConnect.
- Nyasher і GPPStorm — фреймворки для захоплення акаунтів Google через підроблені робочі процеси та фішингові сторінки, які використовують blob URL замість стандартних HTML-документів.
Оцінка впливу
Основна група ризику — організації, що використовують Microsoft 365, особливо ті, де дозволена аутентифікація через device code і зберігаються застарілі поштові псевдоніми від попередніх доменних імен (наприклад, після злиттів і поглинань). Підписна модель Forg365 знижує поріг входу для зловмисників: менш досвідчені оператори використовують готові шаблони, а просунуті — налаштовують лендинги, ротують інфраструктуру та керують токенами.
Важливо враховувати, що більшість тверджень про можливості Forg365 ґрунтуються на звіті одного дослідницького джерела (ZeroBAC) і не підтверджені офіційними рекомендаціями Microsoft або державних агентств. Масштаб реального впливу платформи поки що не встановлено.
Практичні рекомендації
- Заблокуйте аутентифікацію через device code flow у політиках умовного доступу Azure AD/Entra ID, якщо ця функція не потрібна для бізнес-процесів
- Перевіряйте артефакти поштових скриньок після подій аутентифікації через device code на ознаки нетипової активності — створення правил пересилання, масове читання листів, надсилання повідомлень
- Проведіть аудит правил маршрутизації пошти (mail-flow rules) на наявність несанкціонованих перенаправлень
- Виведіть з експлуатації застарілі поштові псевдоніми, які більше не відповідають активним співробітникам, — особливо ті, що лишилися від доменів до злиттів і поглинань
- Моніторте OAuth-додатки, зареєстровані в тенанті, на предмет підозрілих дозволів і невідомих видавців
- Перевірте браузерні розширення на робочих станціях співробітників — наявність ForgCookie або подібних розширень, що взаємодіють із доменами Microsoft, потребує негайного реагування
Forg365 демонструє перехід PhaaS-екосистеми від простого збирання паролів до повного циклу компрометації: від доставки фішингу через легітимну інфраструктуру до автоматизованого утримання доступу та ШІ-асистованого перехоплення листування. Пріоритетною дією для захисників є вимкнення device code flow в Azure AD/Entra ID та аудит застарілих поштових псевдонімів, які створюють невидимі для SEG шляхи доставки фішингу у робочі поштові скриньки.