Cybersecurity -onderzoekers hebben een nieuw cluster van activiteit gedetailleerd waarbij dreigingsactoren zich voordoen als ondernemingen met nep -Microsoft OAuth -applicaties om de oogst van referenties te vergemakkelijken als onderdeel van accountaanvallen.
“De nep Microsoft 365 -applicaties doen zich voor als verschillende bedrijven, waaronder RingCentral, SharePoint, Adobe en Docusign,” zei Proofpoint in een donderdagrapport.
De lopende campagne, voor het eerst gedetecteerd in begin 2025, is ontworpen om de OAuth-applicaties te gebruiken als een toegangspoort om ongeautoriseerde toegang tot Microsoft 365-accounts van gebruikers te verkrijgen door middel van phishing-kits zoals Tycoon en ODX die in staat zijn om multi-factor authenticatie (MFA) te uitvoeren.
Het Enterprise Security Company zei dat het zag dat de aanpak werd gebruikt in e -mailcampagnes met meer dan 50 implementeerde applicaties.
De aanvallen beginnen met phishing -e -mails die zijn verzonden vanuit gecompromitteerde accounts en zijn gericht op het misleiden van ontvangers om op URL’s te klikken onder het voorwendsel van het delen van verzoeken voor offertes (RFQ) of zakelijke contractovereenkomsten.
Als u op deze links klikt, wordt het slachtoffer naar een Microsoft OAuth -pagina gericht voor een applicatie met de naam “Ilsmart” die hen vraagt om het toestemming te geven om hun basisprofiel te bekijken en voortdurende toegang te behouden tot de gegevens waarnaar ze toegang hebben gekregen.
Wat deze aanval opmerkelijk maakt, is de nabootsing van Ilsmart, een legitieme online marktplaats voor luchtvaart-, mariene en defensie -industrie om onderdelen- en reparatiediensten te kopen en verkopen.
“De machtigingen van de toepassingen zouden een beperkt gebruik bieden aan een aanvaller, maar het wordt gebruikt voor het opzetten van de volgende fase van de aanval,” zei Proofpoint.
Ongeacht of het doelwit de gevraagde machtigingen heeft geaccepteerd of geweigerd, worden ze eerst doorgestuurd naar een Captcha -pagina en vervolgens naar een nep Microsoft -accountverificatiepagina zodra de verificatie is voltooid.
Deze nep-Microsoft-pagina maakt gebruik van de phishingtechnieken van de tegenstander (AITM) (AITM) aangedreven door de Tycoon Phishing-As-A-Service (PHAAS) -platform om de referenties en MFA-codes van het slachtoffer te oogsten.
Zo recent als vorige maand, zei Proofpoint dat het een andere campagne heeft gedetecteerd die zich voordeed als Adobe waarin de e -mails worden verzonden via Twilio SendGrid, een e -mailmarketingplatform, en zijn ontworpen met hetzelfde doel in gedachten: om gebruikersautorisatie te krijgen of een annuleringsstroom te activeren die het slachtoffer omleidt naar een phishing -pagina.
De campagne vertegenwoordigt slechts een druppel in de emmer in vergelijking met de totale tycoon-gerelateerde activiteit, waarbij de meerdere clusters de toolkit gebruiken om accountovername-aanvallen uit te voeren. Alleen al in 2025 zijn poging tot accountcompromissen die van invloed zijn op bijna 3.000 gebruikersaccounts van meer dan 900 Microsoft 365 -omgevingen waargenomen.
“Bedreigingsactoren creëren steeds innovatieve aanvalsketens in een poging om detecties te omzeilen en wereldwijd toegang te krijgen tot organisaties,” zei het bedrijf, en voegt eraan toe “anticipeert op dreigingsactoren die zich in toenemende mate zullen richten op de identiteit van gebruikers, waarbij AITM -referenties phishing de criminele industriestandaard worden.”
Vanaf vorige maand heeft Microsoft plannen aangekondigd om de standaardinstellingen bij te werken om de beveiliging te verbeteren door legacy-authenticatieprotocollen te blokkeren en de admin-toestemming van de admin voor app-toegang van derden te vereisen. De updates zullen naar verwachting in augustus 2025 worden voltooid.
“Deze update zal een positieve invloed hebben op het landschap in het algemeen en zal dreigingsacteurs hamstring die deze techniek gebruiken,” merkte Proofpoint op.
De openbaarmaking volgt de beslissing van Microsoft om externe werkmap -links naar geblokkeerde bestandstypen standaard tussen oktober 2025 en juli 2026 uit te schakelen in een poging om de werkmapbeveiliging te verbeteren.
De bevindingen komen ook als speer-phishing-e-mails met vermeende betalingsontvangsten worden gebruikt om te implementeren door middel van een op Autoit gebaseerde injector, een stuk .NET-malware genaamd VIP KeyLogger die gevoelige gegevens van gecompromitteerde hosts kunnen stelen, zei Seqrite.
In de loop van enkele maanden zijn spamcampagnes gespot met het verbergen van installatielinks naar externe desktopsoftware in PDF -bestanden om e -mail en malwareafweer te omzeilen. De campagne wordt verondersteld sinds november 2024 aan de gang te zijn, voornamelijk gericht op entiteiten in Frankrijk, Luxemburg, België en Duitsland.
“Deze PDF’s zijn vaak vermomd om eruit te zien als facturen, contracten of onroerendgoedlijsten om de geloofwaardigheid te verbeteren en slachtoffers te lokken om op de ingesloten link te klikken,” zei Secure. “Dit ontwerp was bedoeld om de illusie te creëren van legitieme inhoud die is verduisterd, waardoor het slachtoffer een programma heeft geïnstalleerd. In dit geval was het programma FleetDeck RMM.”
Andere tools op afstand Monitoring and Management (RMM) die zijn geïmplementeerd als onderdeel van het activiteitencluster omvatten ACTION1, OPTItune, Bluetrait, Syncro, Superops, Atera en ScreenConnect.
“Hoewel er geen payloads na infectie zijn waargenomen, suggereert het gebruik van RMM-tools sterk hun rol als een initiële toegangsvector, wat mogelijk verdere kwaadaardige activiteit mogelijk maakt,” voegde het Finse bedrijf eraan toe. “Vooral ransomware -operators hebben deze aanpak begunstigd.”
