ARToken и EvilTokens: эволюция фишинга для Microsoft 365

Специалисты Cisco Talos идентифицировали платформу ARToken как полноценную панель оператора фишинга как услуги (PhaaS). Новый инструментарий имеет глубокие технические корни, уходящие в ранее задокументированный фреймворк EvilTokens, и знаменует собой качественный скачок в возможностях злоумышленников по компрометации облачных сред Microsoft 365. ARToken не просто повторяет предшественника — он предлагает расширенный арсенал, усиленную защиту от анализа и комплексную автоматизацию всего цикла атаки на бизнес-почту.

Генетическая связь с EvilTokens

ARToken напрямую наследует архитектуру EvilTokens, что подтверждается идентичными API-контрактами, методами управления токенами и механизмами закрепления. Обе платформы разделяют общий modus operandi: эксплуатацию механизма Microsoft OAuth 2.0 Device Authorization Grant для захвата пользовательских токенов в обход многофакторной аутентификации (MFA). Операция, стартовавшая в начале 2026 года, демонстрирует повышенные показатели успешности по сравнению с более ранними атаками на коды устройств, а её подлинность уже подтверждена Microsoft на фоне сообщений о целевых кампаниях с использованием множества фишинговых страниц и доменов.

Обе платформы используют схожие приманки и техники, размещённые на серверлесс-инфраструктуре Cloudflare Workers со сложными соглашениями об именовании. Однако ARToken идёт дальше: он воспроизводит методы жизненного цикла основного токена обновления (PRT), ранее выявленные в EvilTokens, что однозначно указывает на его происхождение как прямого потомка этого семейства вредоносного ПО.

Функциональный арсенал платформы

Панель ARToken, построенная на базе React, предоставляет операторам доступ к более чем 80 конечным точкам API. Этот обширный интерфейс покрывает все этапы современной атаки, включая:

  • фишинг с использованием кода устройства (device code phishing);
  • закрепление в скомпрометированной учётной записи через основной токен обновления (PRT);
  • полный доступ к электронной почте жертвы и управление правилами почтового ящика;
  • тактики компрометации бизнес-почты (BEC);
  • эксфильтрация данных из SharePoint и OneDrive.

Эволюция платформы включила в себя сложные функции на базе искусственного интеллекта для генерации персонализированных сценариев BEC, а также автоматическую регистрацию устройств, обеспечивающую сохранение доступа к скомпрометированным учётным записям. После проникновения операторы получают возможность беспрепятственно читать письма, отправлять сообщения от имени жертвы и взаимодействовать с корпоративными ресурсами SharePoint. Интеграция браузера десктопных сессий дополнительно усиливает угрозу, позволяя злоумышленникам бесшовно работать с сессиями Microsoft 365.

Эшелонированная защита от анализа

Ключевым отличием ARToken от предшественника стала усовершенствованная система противодействия анализу, реализующая семь слоёв защиты. Она интегрирует клиентские проверки подлинности и XOR-шифрование полезной нагрузки с использованием 16-байтового ключа, расшифровываемого непосредственно во время выполнения. Это более продвинутая техника обфускации по сравнению с ранее описанным механизмом X-Antibot-Token, применявшимся EvilTokens, и радикально отличается от используемого тем шифрования AES-GCM через Web Crypto API. Такой подход существенно усложняет автоматизированный анализ и обратную разработку, делая платформу значительно более живучей.

Последствия и уровень угрозы

ARToken позиционируется как зрелая среда для операций BEC. Её функциональность заточена под упрощение всего процесса после компрометации — от кражи данных до многоходовых финансовых махинаций. Способность платформы комбинировать автоматический сбор токенов, закрепление через PRT, обход MFA и персонализированные атаки с использованием AI выводит фишинговые кампании на принципиально новый уровень. Для организаций, полагающихся на облачные сервисы Microsoft 365, постоянная активность подобных продвинутых PhaaS-платформ означает необходимость пересмотра защитных стратегий и усиления мониторинга аномалий, связанных с токенами обновления и активностью устройств.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: