Forg365: PhaaS захватывает OAuth-токены через поток кода устройства
Специалисты по кибербезопасности представили детальный анализ Forg365 — зрелой Phishing-as-a-Service (PhaaS) платформы, созданной исключительно для компрометации учётных записей Microsoft 365. Сервис сочетает технику device code phishing, автоматизированное управление кампаниями и коммерческую модель, распространяемую через Telegram. Благодаря встроенным механизмам уклонения и инструментам пост-эксплуатации Forg365 представляет серьёзную угрозу для организаций любого масштаба.
Техника атаки: перехват OAuth-токенов без кражи паролей
Главная особенность Forg365 — использование device code phishing, который Microsoft классифицирует как риск высокого уровня. Этот подход не требует прямого ввода учётных данных: пользователь перенаправляется на поддельный, но визуально подлинный интерфейс аутентификации Microsoft и самостоятельно авторизует сессию, контролируемую атакующим. В результате злоумышленники получают OAuth-токены, позволяющие обходить многофакторную аутентификацию.
Платформа реализует полный цикл сохранения доступа: токены автоматически хранятся, генерируются файлы cookie, а встроенные техники обновления сессий делают сессию практически неотличимой от легитимной и чрезвычайно сложной для обнаружения.
Панель оператора и автоматизация кампаний
Функциональные возможности Forg365 сконцентрированы в выделенной панели управления, которая позволяет настраивать фишинговые кампании и выполнять расширенные операции после компрометации. Среди ключевых инструментов:
- Обход анти-ботов для успешной доставки фишинговых страниц;
- Автоматизированная рассылка писем через легитимные почтовые сервисы;
- Генерация приманок с помощью ИИ, упрощающая создание убедительных сценариев;
- Управление постоянными сессиями и мониторинг скомпрометированных учётных записей;
- Панель действий после взлома, включая управление OAuth-предоставлениями.
Интеграция с Gophish для оркестрации кампаний подчёркивает операционную зрелость платформы: даже менее опытные операторы получают доступ к продвинутым техникам, а опытные — к тонкой настройке атак.
Модель распространения и монетизация через Telegram
Forg365 продаётся через Telegram-панель, где координируются онбординг, оплата и поддержка. Авторы сервиса предлагают подписочную модель с несколькими уровнями: бесплатный пробный период, помесячный и годовой планы доступа. Такой подход намеренно снижает порог входа, превращая сложную атаку в товар с простым интерфейсом.
Инфраструктура и уклонение от защиты
Инфраструктура Forg365 построена по ролевой модели и сочетает ресурсы, размещённые за Cloudflare, с прямыми серверными узлами. Это даёт скорость развёртывания и тактики уклонения от автоматического сканирования. Для доставки писем платформа эксплуатирует доверенные почтовые сервисы — Amazon SES и SendGrid, благодаря чему фишинговые сообщения сливаются с обычным корпоративным трафиком и минуют спам-фильтры.
Пост-компрометация: расширение ForgCookie и вечное закрепление
Особого внимания заслуживает инструмент автоматизации браузера ForgCookie — расширение, предназначенное для автоматического обновления токенов аутентификации. После первоначальной компрометации ForgCookie поддерживает доступ к учётной записи Microsoft 365 жертвы даже в случае смены пароля или завершения сессии. Это создаёт серьёзные трудности для защитников, пытающихся прервать несанкционированный доступ без полной ревизии OAuth-предоставлений.
Эксперты отмечают, что продукция PhaaS-платформ, подобных Forg365, стирает грань между изощрёнными целевыми атаками и массовым фишингом, предоставляя киберпреступникам готовый арсенал для захвата учётных записей Microsoft 365. Организациям рекомендуется усилить мониторинг аномальных OAuth-согласий и внедрить строгие политики проверки подозрительных признаков входа, особенно связанных с device code flow.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



