Networking

ARToken PhaaS mengungkap toolkit phishing Microsoft 365 EvilTokens

1
artoken-phaas-mengungkap-toolkit-phishing-microsoft-365-eviltokens
ARToken PhaaS mengungkap toolkit phishing Microsoft 365 EvilTokens

Platform phishing-as-a-service (PhaaS) baru yang dijuluki “ARToken” tampaknya beroperasi sebagai afiliasi dari platform phishing EvilTokens, sehingga memberikan para peneliti gambaran sekilas tentang perangkat ekstensif yang dirancang untuk menyusupi Microsoft 365.

Peneliti Cisco Talos menemukan platform tersebut saat menyelidiki infrastruktur phishing yang digunakan dalam respons insiden dan mengidentifikasi panel manajemen berbasis React yang disebut “ARToken Panel” yang mengekspos lebih dari 80 titik akhir API.

Rekayasa balik kode JavaScript sisi klien mengungkapkan kemampuan yang sebelumnya tidak terdokumentasikan dan melampaui apa yang biasanya Anda temukan di platform phishing.

Platform ini memungkinkan penyerang mencuri token autentikasi Microsoft 365, membuat akses persisten menggunakan Primary Refresh Token (PRT), dan mengakses kotak surat Outlook, situs SharePoint, dan file OneDrive. Ini juga mencakup alat untuk menyebarkan infrastruktur phishing melalui Cloudflare Workers dan mengotomatiskan banyak aspek operasi kompromi email bisnis (BEC).

Menurut laporan Talosbeberapa kesamaan teknis sangat menyarankan ARToken terkait dengan Platform phishing EvilToken ditemukan awal tahun ini.

Para peneliti menemukan kit phishing ARToken menggunakan panggilan API yang sama untuk alur otentikasi kode perangkat Microsoft, termasuk permintaan `POST /api/device/start` yang identik yang sebelumnya dikaitkan dengan serangan EvilTokens.

Talos juga mengidentifikasi titik akhir API token penyegaran utama yang sama yang didokumentasikan Penelitian EvilToken Sekoiatermasuk titik akhir untuk menyiapkan, menyegarkan, memperbarui, dan memperoleh kembali Token Penyegaran Utama, bahkan setelah masa berlakunya habis.

Platform ini juga menggunakan model penerapan Cloudflare Workers yang serupa dan beroperasi sebagai layanan phishing multi-penyewa, di mana afiliasi mengelola kampanye mereka sendiri melalui ruang kerja khusus.

EvilTokens sangat berfokus pada eksploitasi alur kerja autentikasi Hibah Otorisasi Perangkat OAuth 2.0 Microsoft untuk membobol akun, sebuah teknik yang dikenal sebagai phishing kode perangkat.

Korban ditipu untuk memasukkan kode perangkat sah yang dikeluarkan Microsoft di halaman login perangkat resmi Microsoft, menyebabkan Microsoft mengeluarkan token autentikasi langsung ke penyerang, bukan ke korban. Karena korban melakukan autentikasi melalui infrastruktur resmi Microsoft, serangan tersebut berhasil melewati perlindungan autentikasi multifaktor.

Formulir login otentikasi kode perangkat Microsoft

Sekoia pertama kali mendokumentasikan platform EvilTokens pada bulan Maret, menggambarkannya sebagai layanan phishing komersial yang dijual kepada penjahat dunia maya dengan biaya pengaturan $1.500 dan langganan bulanan $500.

Di sebuah laporan tindak lanjutSekoia menemukan alur kerja berbasis AI yang menyerap kotak surat yang diambil untuk menilai eksposur finansial, kemudian menggunakan AI dan LLM untuk menyusun kampanye BEC dan menerjemahkan email curian untuk operator yang bekerja dalam bahasa lain.

Microsoft nanti diperingatkan tentang platform tersebut seiring dengan melonjaknya serangan phishing kode perangkat secara drastis, dan banyak pelaku ancaman yang mengadopsi teknik ini karena tingkat keberhasilannya yang tinggi terhadap pengguna Microsoft 365.

Apa yang membedakan EvilTokens dari perangkat phishing kode perangkat lainnya adalah penggunaan AI untuk mengotomatiskan penipuan.

Di dalam platform afiliasi EvilTokens

Laporan Talos memberikan gambaran rinci tentang fungsi yang tersedia untuk afiliasi EvilTokens setelah akun berhasil disusupi.

Setelah korban menyelesaikan proses otentikasi kode perangkat, ARToken memungkinkan operator untuk menyegarkan token yang dicuri dan meningkatkan akses ke token penyegaran primer yang persisten (PRT).

Para peneliti juga menemukan alat untuk melakukan serangan penyusupan email bisnis, termasuk akses penuh kotak surat Outlook, kemampuan untuk mengirim email sebagai pengguna yang disusupi, kemampuan untuk membuat aturan kotak masuk yang secara otomatis meneruskan atau menyembunyikan pesan, kemampuan untuk memantau beberapa kotak surat untuk kata kunci secara bersamaan, dan kemampuan untuk mengunduh lampiran email.

Penyerang juga dapat menelusuri, mengunggah, mengunduh, dan mengelola file yang disimpan di situs SharePoint dan akun OneDrive korban, sehingga memungkinkan pencurian data dan pengiriman malware untuk serangan tambahan.

ARToken juga mengungkapkan beberapa fitur yang tidak teridentifikasi dalam penelitian EvilTokens sebelumnya.

Pelaku ancaman dapat memantau beberapa kotak surat yang dibajak secara bersamaan untuk kata kunci tertentu, memuat token yang dicuri dari sumber lain, dan berbagi akses ke akun yang disusupi.

Mereka juga dapat secara diam-diam mengatur aturan kotak masuk yang menyembunyikan atau menghapus pesan untuk menutupi jejak mereka, dan menggunakan halaman phishing yang secara otomatis memperbarui konten mereka berdasarkan lokasi korban.

Email phishing ARToken
Sumber: Cisco Talos

Talos juga menganalisis email phishing yang terkait dengan platform tersebut, dan menemukan bahwa penyerang menyamar sebagai vendor yang sah dalam umpan bertema faktur yang menargetkan karyawan yang bertanggung jawab atas hutang.

Daripada menautkan ke situs yang jelas-jelas dikendalikan oleh penyerang, email tersebut menampilkan alamat SharePoint yang sah, namun sebenarnya mengarahkan korban ke penyewa serupa yang dihosting di ruang kerja Microsoft 365 milik penyerang.

Pada bulan April, Push Security melaporkan hal itu serangan phishing kode perangkat telah melonjak 37 kali lipat selama setahun terakhir, setidaknya ada 11 perangkat phishing yang menawarkan teknik ini kepada penjahat dunia maya.


Untuk organisasi yang ingin bertahan dari serangan phishing Microsoft 365 modern, penyusupan email bisnis (BEC), dan pengambilalihan akun, BleepingComputer mengadakan webinar dengan judul Abnormal Berhenti mengejar peringatan: Mengotomatiskan keamanan email dengan AI perilaku.

Webinar ini akan mengeksplorasi bagaimana penyerang menggunakan teknik seperti phishing kode perangkat untuk melewati MFA dan menyusupi akun, mengapa serangan ini menghindari kontrol keamanan email tradisional, dan bagaimana AI perilaku dapat membantu tim keamanan mengotomatiskan deteksi, investigasi, dan remediasi aktivitas phishing dan akun yang disusupi.

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya

Exit mobile version