Šta se desilo?

Bezbednosni istraživači iz Cisco Talose otkrili su novu platformu pod nazivom ARToken koja funkcioniše kao servis za fišovanje (PhaaS - Phishing-as-a-Service) povezan sa poznatom EvilTokens platformom. Analizirajući nebezbedno izloženu upravljačku ploču, stručnjaci su pronašli preko 80 API krajnjih tačaka koje omogućavaju napadačima da krade tokene za autentifikaciju Microsoft 365, uspostave trajni pristup nalogu i prikupe podatke iz mejlboksa, SharePoint lokacija i OneDrive fajlova.

Koga pogađa?

Primarno su u riziku sve organizacije koje koriste Microsoft 365 usluge - posebno zaposleni u finansijskom odeljenju, računovodstvu i upravljanju dobavljačima, jer napadači često koriste mejlove sa lažnim fakturama. Takođe su ugroženi korisnici sa privilegovanim nalozima, vlasnici više mejlbokseva i svi oni koji nisu aktivirali napredne mere zaštite na Microsoft 365 nalozima.

Kako se zaštititi?

  • Omogućite Conditional Access politike u Microsoft 365 da ograničite pristup iz neobičnih lokacija i uređaja
  • Edukujte zaposlene o device code phishing - napadači ih navode da unesu kod na microsoft.com stranicu
  • Aktivirajte naprednu zaštitu od pretnji (Microsoft Defender for Office 365)
  • Redovno monitorujte aktivnost u mejlboksevima i postavite upozorenja za sumnjive inbox pravila
  • Implementirajte hardverske bezbednosne ključeve kao dodatni nivo zaštite pored MFA
  • Pregledajte i ograničite pristup SharePoint i OneDrive okruženjima samo autorizovanim korisnicima
  • Pazite na mejlove koji vam nude SharePoint ili OneDrive linkove od neočekivanih pošiljaoca

Tehnički detalji

ARToken koristi Microsoft OAuth 2.0 Device Authorization Grant tok za autentifikaciju. Platforma omogućava krađenje Primary Refresh Token (PRT) tokena koji omogućavaju trajni pristup čak i nakon promene lozinke. Napadači mogu pristupiti Outlook mailboxima, slati mejlove kao žrtva, kreirati inbox pravila za skrivanje poruka, pregledati i prenositi fajlove sa SharePoint i OneDrive. Posebno je opasno što ARToken koristi AI sisteme za automatizaciju kampanja za business email compromise (BEC) napade i za skor izlaganja finansijskih podataka iz ukrađenih mejlbokseva. Platforma koristi Cloudflare Workers infrastrukturu za implementaciju fišing lokacija i omogućava napadačima da prave stranice koje se automatski prilagođavaju prema lokaciji žrtve.

Zašto je važno za region

U regionu Zapadnog Balkana sve više firmi prelazi na cloud tehnologije i Microsoft 365 platformu, što čini lokalne kompanije lakšom metom za ovakve napade. Tehnike device code phishing su posebno opasne jer uspešno zaobilaze čak i multi-factor autentifikaciju - najčešće korišćenu zaštitu u malim i srednje velikim firmama. Napadačima je dovoljan samo legitimni Microsoft login kod koji žrtva sama unese, što čini ove napade teško zaustavljivim za standardne bezbednosne sisteme.

Preporuka Sajber Radara

Neophodno je da sve organizacije u regionu koje koriste Microsoft 365 odmah pregledu svoje bezbednosne postavke i edukuju zaposlene o device code phishing tehnikai. Posebna pažnja treba da bude na računima sa pristupom finansijskim sistemima i važnim podacima, koji trebalo bi da budu dodatno zaštićeni hardverskim ključevima umesto samo broja za potvrdu.