Forg365: PhaaS захватывает OAuth-токены через поток кода устройства

Специалисты по кибербезопасности представили детальный анализ Forg365 — зрелой Phishing-as-a-Service (PhaaS) платформы, созданной исключительно для компрометации учётных записей Microsoft 365. Сервис сочетает технику device code phishing, автоматизированное управление кампаниями и коммерческую модель, распространяемую через Telegram. Благодаря встроенным механизмам уклонения и инструментам пост-эксплуатации Forg365 представляет серьёзную угрозу для организаций любого масштаба.

Техника атаки: перехват OAuth-токенов без кражи паролей

Главная особенность Forg365 — использование device code phishing, который Microsoft классифицирует как риск высокого уровня. Этот подход не требует прямого ввода учётных данных: пользователь перенаправляется на поддельный, но визуально подлинный интерфейс аутентификации Microsoft и самостоятельно авторизует сессию, контролируемую атакующим. В результате злоумышленники получают OAuth-токены, позволяющие обходить многофакторную аутентификацию.

Платформа реализует полный цикл сохранения доступа: токены автоматически хранятся, генерируются файлы cookie, а встроенные техники обновления сессий делают сессию практически неотличимой от легитимной и чрезвычайно сложной для обнаружения.

Панель оператора и автоматизация кампаний

Функциональные возможности Forg365 сконцентрированы в выделенной панели управления, которая позволяет настраивать фишинговые кампании и выполнять расширенные операции после компрометации. Среди ключевых инструментов:

  • Обход анти-ботов для успешной доставки фишинговых страниц;
  • Автоматизированная рассылка писем через легитимные почтовые сервисы;
  • Генерация приманок с помощью ИИ, упрощающая создание убедительных сценариев;
  • Управление постоянными сессиями и мониторинг скомпрометированных учётных записей;
  • Панель действий после взлома, включая управление OAuth-предоставлениями.

Интеграция с Gophish для оркестрации кампаний подчёркивает операционную зрелость платформы: даже менее опытные операторы получают доступ к продвинутым техникам, а опытные — к тонкой настройке атак.

Модель распространения и монетизация через Telegram

Forg365 продаётся через Telegram-панель, где координируются онбординг, оплата и поддержка. Авторы сервиса предлагают подписочную модель с несколькими уровнями: бесплатный пробный период, помесячный и годовой планы доступа. Такой подход намеренно снижает порог входа, превращая сложную атаку в товар с простым интерфейсом.

Инфраструктура и уклонение от защиты

Инфраструктура Forg365 построена по ролевой модели и сочетает ресурсы, размещённые за Cloudflare, с прямыми серверными узлами. Это даёт скорость развёртывания и тактики уклонения от автоматического сканирования. Для доставки писем платформа эксплуатирует доверенные почтовые сервисы — Amazon SES и SendGrid, благодаря чему фишинговые сообщения сливаются с обычным корпоративным трафиком и минуют спам-фильтры.

Пост-компрометация: расширение ForgCookie и вечное закрепление

Особого внимания заслуживает инструмент автоматизации браузера ForgCookie — расширение, предназначенное для автоматического обновления токенов аутентификации. После первоначальной компрометации ForgCookie поддерживает доступ к учётной записи Microsoft 365 жертвы даже в случае смены пароля или завершения сессии. Это создаёт серьёзные трудности для защитников, пытающихся прервать несанкционированный доступ без полной ревизии OAuth-предоставлений.

Эксперты отмечают, что продукция PhaaS-платформ, подобных Forg365, стирает грань между изощрёнными целевыми атаками и массовым фишингом, предоставляя киберпреступникам готовый арсенал для захвата учётных записей Microsoft 365. Организациям рекомендуется усилить мониторинг аномальных OAuth-согласий и внедрить строгие политики проверки подозрительных признаков входа, особенно связанных с device code flow.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: