
Komplex eszköztár rejtett képességekkel
A Cisco Talos kutatói egy React-alapú vezérlőpulton keresztül fedezték fel az ARToken platformot, amely több mint 80 API-végpontot tárt fel. A platform lehetőséget teremt arra, hogy a támadók hitelesítési tokeneket lopjanak el a Microsoft 365-fiókokból, majd úgynevezett Primary Refresh Tokenek segítségével hosszú távú hozzáférést szerezzenek. Ezek mellett Outlook-postafiókok, SharePoint-oldalak és OneDrive-fájlok is elérhetővé válnak, ráadásul mindezt felhőalapú infrastruktúra-telepítési támogatás és automatizált BEC-támadások (Business Email Compromise) szervezése egészíti ki.
A kutatók összefüggéseket találtak az EvilTokens és az ARToken működése között is: ugyanazokat az API-hívásokat alkalmazzák a Microsoft eszközkódos hitelesítési folyamatánál, továbbá hasonló tokenkezelő végpontokat nyújtanak, amelyekkel a jogosultságokat meg lehet újítani vagy vissza lehet szerezni lejárat után is.
Kiemelt célpont az OAuth-alapú hitelesítés
A támadók leggyakrabban a Microsoft Device Authorization Grant mechanizmusát használják ki: a gyanútlan áldozat egy valódi Microsoft-bejelentkezési oldalon adja meg az eszközkódot, de a token valójában a támadóhoz kerül. Mivel a hitelesítés a Microsoft rendszerén keresztül történik, a többfaktoros hitelesítés is hatástalanná válik.
Automatizálás és új módszerek
Az EvilTokens kitűnik a mezőnyből azzal, hogy MI-t vet be csalások automatizálására. Egy fejlett munkafolyamat segítségével az ellopott postaládák vizsgálata után mesterséges intelligencia értékeli a pénzügyi kitettséget, tervez BEC-támadásokat, és más nyelvekre is lefordítja az ellopott üzeneteket. A támadók ráadásul egyszerre több postaládában kereshetnek kulcsszavakat, küldhetnek üzeneteket a kompromittált felhasználó nevében, és észrevétlenül módosíthatják a bejövő szabályokat.
Adathalász levelekben sokszor valódi céges beszállítókat utánoznak, megtévesztő SharePoint-linkeket használnak, amelyek csak látszólag hivatalosak, valójában azonban egy félrevezető munkaterületre viszik az áldozatot.
Összegzésként elmondható, hogy az ARToken és az EvilTokens szolgáltatások új korszakot nyitottak a Microsoft 365-fiókok elleni támadások világában, ahol az MI és az automatizált infrastruktúra egyre komolyabb fenyegetést jelent a vállalati szféra számára.
