SecBoard
Zurück zur Übersicht

ARToken PhaaS exposes EvilTokens' Microsoft 365 phishing toolkit

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Die neue Phishing-as-a-Service (PhaaS)-Plattform "ARToken" agiert als Ableger von EvilTokens und bietet ein umfangreiches Toolkit zur Kompromittierung von Microsoft 365. Nutzer von Microsoft 365 sind potenziell betroffen. Es wird empfohlen, wachsam zu sein und Sicherheitsmaßnahmen zu überprüfen.

Kurzfassung

ARToken ist eine neue Phishing-as-a-Service (PhaaS)-Plattform, die als Ableger von EvilTokens identifiziert wurde. Sie bietet ein ausgeklügeltes Toolkit, das speziell auf Microsoft 365-Benutzer abzielt. Diese Plattform erleichtert Phishing-Angriffe und kann Konten von Einzelpersonen und Organisationen, die Microsoft 365-Dienste nutzen, kompromittieren.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Benutzer von Microsoft 365 sind potenziell betroffen.

Warum relevant

Die Verfügbarkeit eines PhaaS-Toolkits, das auf Microsoft 365 abzielt, erhöht das Risiko erfolgreicher Phishing-Angriffe erheblich. Dies kann zu Kontokompromittierungen und Datenlecks führen.

Realistisches Worst Case

Realistischer Worst Case ist die Kompromittierung von Microsoft 365-Konten durch Phishing, was den Zugriff auf sensible Daten und die Möglichkeit weiterer Angriffe innerhalb der Organisation ermöglichen könnte.

Handlungsempfehlung

Organisationen sollten die Implementierung der Multi-Faktor-Authentifizierung (MFA) für alle Microsoft 365-Konten sicherstellen und Benutzer für Phishing-Versuche sensibilisieren.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob MFA für alle Microsoft 365-Konten aktiviert und erzwungen wird.
  • Führen Sie Phishing-Simulationen durch, um die Sensibilisierung der Benutzer für Phishing-E-Mails zu testen.
  • Überprüfen Sie E-Mail-Filterregeln und Gateway-Protokolle auf verdächtige E-Mails, die auf Microsoft 365-Anmeldeseiten verweisen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighDie neue Phishing-as-a-Service (PhaaS)-Plattform "ARToken" agiert als Ableger von EvilTokens und bietet ein umfangreiches Toolkit zur Kompromittierung von Microsoft 365.
Credential AccessT1566.002 Phishing: Spearphishing LinkLowDiese Plattform erleichtert Phishing-Angriffe, potenziell kompromittierende Konten von Einzelpersonen und Organisationen, die Microsoft 365-Dienste nutzen.
Offene Punkte
  • Spezifische Taktiken oder Techniken, die das ARToken-Toolkit über Phishing hinaus verwendet, sind nicht detailliert.
  • Die genaue geografische Reichweite oder die spezifischen Branchen, die von ARToken ins Visier genommen werden, sind nicht angegeben.
  • Es werden keine spezifischen IOCs (Indicators of Compromise) genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Initial Access detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Initial Access
Themen
Security