SecBoard
Zurück zur Übersicht

New Forg365 phishing platform uses AI to target Microsoft 365 accounts

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Die neue Phishing-Plattform Forg365 zielt mithilfe von KI-generierten Ködern auf Microsoft 365-Konten ab. Sie nutzt AiTM- und Gerätecode-Methoden, um Zugangsdaten zu stehlen. Nutzer von Microsoft 365 sind betroffen und sollten wachsam sein sowie aktivieren.

Kurzfassung

Die neue Phishing-Plattform Forg365 nutzt KI-generierte Köder, um Microsoft 365-Konten anzugreifen. Sie verwendet AiTM- und Gerätecode-Methoden, um Zugangsdaten zu stehlen. Alle Microsoft 365-Nutzer sind potenziell betroffen und sollten wachsam sein.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Nutzer von Microsoft 365 sind betroffen.

Warum relevant

Die Plattform nutzt KI, um ausgeklügelte Phishing-Köder zu erstellen, was die Erkennung für Endbenutzer erschwert. Die Verwendung von AiTM- und Gerätecode-Methoden kann traditionelle MFA-Schutzmaßnahmen umgehen.

Realistisches Worst Case

Kompromittierung von Microsoft 365-Konten, was zu unbefugtem Zugriff auf E-Mails, Dokumente und andere Unternehmensdaten führen kann.

Handlungsempfehlung

Multi-Faktor-Authentifizierung (MFA) aktivieren und Benutzer über das Erkennen von KI-generierten Phishing-Versuchen aufklären.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob alle Microsoft 365-Konten mit einer starken Multi-Faktor-Authentifizierung (MFA) konfiguriert sind, insbesondere FIDO2- oder zertifikatbasierte MFA.
  • Führen Sie Phishing-Simulationen durch, die KI-generierte Köder und AiTM-Szenarien nachahmen, um die Benutzererkennung zu testen.
  • Überprüfen Sie die Protokolle auf ungewöhnliche Anmeldeversuche oder die Verwendung von Gerätecode-Flüssen, die nicht von bekannten Geräten stammen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighDie neue Phishing-Plattform Forg365 zielt mithilfe von KI-generierten Ködern auf Microsoft 365-Konten ab.
Credential AccessT1566.002 Phishing: Spearphishing LinkMediumSie nutzt AiTM- und Gerätecode-Methoden, um Zugangsdaten zu stehlen.
Credential AccessT1621 Multi-Factor Authentication Request GenerationHighSie nutzt AiTM- und Gerätecode-Methoden, um Zugangsdaten zu stehlen.
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen KI-Technologien für die Ködergenerierung verwendet werden.
  • Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) genannt.
  • Es werden keine spezifischen betroffenen Branchen oder geografischen Regionen genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Möglich
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Initial Access detektieren?
  • Können wir Credential Access detektieren?

MITRE ATT&CK Kill Chain (2 Techniken)

Initial Access
Themen
Security