ARToken и EvilTokens: эволюция фишинга для Microsoft 365
Специалисты Cisco Talos идентифицировали платформу ARToken как полноценную панель оператора фишинга как услуги (PhaaS). Новый инструментарий имеет глубокие технические корни, уходящие в ранее задокументированный фреймворк EvilTokens, и знаменует собой качественный скачок в возможностях злоумышленников по компрометации облачных сред Microsoft 365. ARToken не просто повторяет предшественника — он предлагает расширенный арсенал, усиленную защиту от анализа и комплексную автоматизацию всего цикла атаки на бизнес-почту.
Генетическая связь с EvilTokens
ARToken напрямую наследует архитектуру EvilTokens, что подтверждается идентичными API-контрактами, методами управления токенами и механизмами закрепления. Обе платформы разделяют общий modus operandi: эксплуатацию механизма Microsoft OAuth 2.0 Device Authorization Grant для захвата пользовательских токенов в обход многофакторной аутентификации (MFA). Операция, стартовавшая в начале 2026 года, демонстрирует повышенные показатели успешности по сравнению с более ранними атаками на коды устройств, а её подлинность уже подтверждена Microsoft на фоне сообщений о целевых кампаниях с использованием множества фишинговых страниц и доменов.
Обе платформы используют схожие приманки и техники, размещённые на серверлесс-инфраструктуре Cloudflare Workers со сложными соглашениями об именовании. Однако ARToken идёт дальше: он воспроизводит методы жизненного цикла основного токена обновления (PRT), ранее выявленные в EvilTokens, что однозначно указывает на его происхождение как прямого потомка этого семейства вредоносного ПО.
Функциональный арсенал платформы
Панель ARToken, построенная на базе React, предоставляет операторам доступ к более чем 80 конечным точкам API. Этот обширный интерфейс покрывает все этапы современной атаки, включая:
- фишинг с использованием кода устройства (device code phishing);
- закрепление в скомпрометированной учётной записи через основной токен обновления (PRT);
- полный доступ к электронной почте жертвы и управление правилами почтового ящика;
- тактики компрометации бизнес-почты (BEC);
- эксфильтрация данных из SharePoint и OneDrive.
Эволюция платформы включила в себя сложные функции на базе искусственного интеллекта для генерации персонализированных сценариев BEC, а также автоматическую регистрацию устройств, обеспечивающую сохранение доступа к скомпрометированным учётным записям. После проникновения операторы получают возможность беспрепятственно читать письма, отправлять сообщения от имени жертвы и взаимодействовать с корпоративными ресурсами SharePoint. Интеграция браузера десктопных сессий дополнительно усиливает угрозу, позволяя злоумышленникам бесшовно работать с сессиями Microsoft 365.
Эшелонированная защита от анализа
Ключевым отличием ARToken от предшественника стала усовершенствованная система противодействия анализу, реализующая семь слоёв защиты. Она интегрирует клиентские проверки подлинности и XOR-шифрование полезной нагрузки с использованием 16-байтового ключа, расшифровываемого непосредственно во время выполнения. Это более продвинутая техника обфускации по сравнению с ранее описанным механизмом X-Antibot-Token, применявшимся EvilTokens, и радикально отличается от используемого тем шифрования AES-GCM через Web Crypto API. Такой подход существенно усложняет автоматизированный анализ и обратную разработку, делая платформу значительно более живучей.
Последствия и уровень угрозы
ARToken позиционируется как зрелая среда для операций BEC. Её функциональность заточена под упрощение всего процесса после компрометации — от кражи данных до многоходовых финансовых махинаций. Способность платформы комбинировать автоматический сбор токенов, закрепление через PRT, обход MFA и персонализированные атаки с использованием AI выводит фишинговые кампании на принципиально новый уровень. Для организаций, полагающихся на облачные сервисы Microsoft 365, постоянная активность подобных продвинутых PhaaS-платформ означает необходимость пересмотра защитных стратегий и усиления мониторинга аномалий, связанных с токенами обновления и активностью устройств.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



