Вчера в 21:25

Kali365: фишинг-сервис для обхода MFA и захвата сессий

Kali365 и его варианты — Octopi365 и Freedom365 — представляют собой сложную экосистему Phishing as a Service (PhaaS), которая, по данным расследования Huntress, функционирует как минимум с апреля 2026 года. Исследователи выявили более 240 IP-адресов, связанных с этой кампанией. Особую опасность платформы определяет то, что она использует легитимные механизмы входа Microsoft для перехвата аутентификации по коду устройства и получения устойчивого доступа к учетным записям жертв.

Ключевая особенность Kali365 заключается в том, что внедрение Multi-Factor Authentication (MFA) и последующая смена пароля не гарантируют защиту. Злоумышленники могут сохранить доступ, если им удается перехватить токены или сессию, а затем использовать их для дальнейших действий, включая Business Email Compromise (BEC).

Как работает схема атаки

В основе архитектуры Kali365 лежит использование Device Code flow — метода, который позволяет злоумышленникам эксплуатировать обычные интерфейсы входа Microsoft. Пользователь при этом фактически побуждается предоставить доступ, не всегда понимая последствия такого действия. После успешного захвата авторизации преступники получают возможность работать с учетной записью как с собственной.

По оценке исследователей, такая модель особенно опасна из-за своей «легитимности»: атака не всегда выглядит как традиционный вредоносный вход, что усложняет обнаружение на ранней стадии.

Инфраструктура и инструменты Kali365

Экосистема ориентирована на максимальную операционную эффективность и включает набор функций, которые обычно встречаются у зрелых коммерческих платформ:

более 33 шаблонов приманки;
обширный API framework;
управление ролями пользователей;
структуру биллинга;
marketplace для покупки доменов.

Наличие таких компонентов показывает, что речь идет не о разрозненной фишинговой кампании, а о масштабируемой сервисной модели, в которой злоумышленники получают почти готовую инфраструктуру для запуска атак.

Три редакции платформы

Экосистема Kali365 включает три основные версии, каждая из которых решает свою задачу в цепочке компрометации:

E1 — базовый вариант, ориентированный на кражу учетных данных с использованием техник adversary-in-the-middle; он позволяет получать доступ к украденным сессиям и взаимодействовать с почтовыми ящиками жертв.
E2 — расширенная редакция для постэксплуатации, где используются функции artificial intelligence для составления BEC-писем, сканирования учетных записей на наличие конфиденциальной информации и изменения настроек Exchange.
E3 — платформа самообслуживания для операторов, желающих перепродавать доступ или управлять подписками через упрощенный пользовательский интерфейс.

Таким образом, платформа закрывает почти весь жизненный цикл атаки — от первичного фишинга до монетизации доступа.

OctoLink Live и OctoLink Sender: усиление атаки

Значимую роль в экосистеме играют десктопные приложения OctoLink Live и OctoLink Sender. Они расширяют возможности злоумышленников и делают кампанию более устойчивой к обнаружению.

OctoLink Live позволяет преобразовывать украденные токены в живые браузерные сессии. Фактически это дает возможность имитировать поведение легитимного пользователя и обходить многие механизмы контроля. Приложение взаимодействует с сервисами Microsoft без участия в традиционных потоках аутентификации, что заметно усложняет работу защитников и затрудняет установление источника атаки.

OctoLink Sender, в свою очередь, автоматизирует массовую рассылку писем с компрометированных учетных записей. Инструмент использует контролируемый темп отправки и дополнительные проверки, чтобы снизить риск срабатывания средств защиты электронной почты.

Наличие автоматического управления подписками подчеркивает уровень зрелости платформы и показывает, насколько далеко злоумышленники готовы заходить, чтобы сохранить операции без прямого человеческого контроля.

Почему это важно для организаций

Kali365 и его варианты демонстрируют заметную эволюцию техник phishing. Основной риск состоит в том, что атака использует привычные пользовательские сценарии и законные компоненты Microsoft, а значит, может долго оставаться незамеченной.

Организациям следует уделять особое внимание следующим признакам:

необычные события в sign-in logs;
аномальная активность токенов;
подозрительные входы с нетипичных IP-адресов;
изменения в настройках Exchange без ожидаемого подтверждения;
несвойственная активность в почтовых ящиках и шаблоны массовой рассылки.

Вывод

Инфраструктура, стоящая за Kali365, указывает на тревожную тенденцию: phishing все чаще превращается в полноценный сервис с развитой внутренней архитектурой, автоматизацией и разделением ролей. Для защитников это означает необходимость не только укреплять MFA и контроль доступа, но и отслеживать поведенческие аномалии, а также внимательно анализировать журналы входа и токен-активность.

Ключевой вывод прост: против современных PhaaS-платформ недостаточно полагаться только на классические меры защиты. Атаки, построенные вокруг Device Code flow, требуют более глубокого мониторинга, корреляции событий и быстрой реакции на признаки несанкционированного доступа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: