Forg365 PhaaS Targets Microsoft 365 with Device Code and AitM Session Theft
Forg365 ist eine neue Phishing-as-a-Service (PhaaS)-Operation, die Microsoft 365-Konten angreift. Sie nutzt Gerätecode-Phishing und Adversary-in-the-Middle (AitM)-Taktiken, um Session-Tokens zu stehlen. Nutzer von Microsoft 365 sollten wachsam sein und Multi-Faktor-Authentifizierung (MFA) sowie weitere Sicherheitsmaßnahmen verstärken.
Forg365 ist eine neue Phishing-as-a-Service (PhaaS)-Operation, die speziell auf Microsoft 365-Konten abzielt. Sie nutzt Gerätecode-Phishing und Adversary-in-the-Middle (AitM)-Taktiken, um Session-Tokens zu stehlen. Ziel ist der Kompromittierung von Postfächern, was eine erhöhte Wachsamkeit und verstärkte Sicherheitsmaßnahmen für Microsoft 365-Nutzer erfordert.
Organisationen, die Microsoft 365 nutzen, insbesondere solche in der Energiebranche, sind betroffen.
Diese PhaaS-Operation ermöglicht es Angreifern, Session-Tokens zu stehlen und MFA zu umgehen, was zu einem direkten Zugriff auf E-Mail-Konten und potenziell weitere Unternehmensdaten führen kann. Die Nutzung von Gerätecode-Phishing und AitM macht die Angriffe besonders schwer erkennbar.
Der schlimmste Fall ist der vollständige Kompromittierung von Microsoft 365-Konten, was zum Diebstahl sensibler Daten, zur Verbreitung weiterer Malware oder zur Durchführung von Business Email Compromise (BEC)-Angriffen führen könnte.
Organisationen sollten umgehend die Multi-Faktor-Authentifizierung (MFA) für alle Microsoft 365-Konten überprüfen und sicherstellen, dass sie aktiviert ist. Zudem sollten Mitarbeiter für die Erkennung von Gerätecode-Phishing und AitM-Angriffen geschult werden.
- ▸Überprüfen Sie, ob alle Microsoft 365-Konten mit einer robusten Multi-Faktor-Authentifizierung (MFA) geschützt sind, die resistent gegen Session-Token-Diebstahl ist (z.B. FIDO2-Schlüssel).
- ▸Implementieren und testen Sie E-Mail-Gateway-Regeln, die bekannte Phishing-Indikatoren, insbesondere solche, die auf Gerätecode-Phishing hindeuten, blockieren oder kennzeichnen.
- ▸Führen Sie regelmäßige Phishing-Simulationen durch, die auch fortgeschrittene Techniken wie Gerätecode-Phishing und AitM-Szenarien umfassen, um die Sensibilisierung der Mitarbeiter zu testen und zu verbessern.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Forg365 ist eine neue Phishing-as-a-Service (PhaaS)-Operation, die Microsoft 365-Konten angreift. |
| Initial Access | T1566.002 Phishing: Spearphishing Link | Medium | Sie nutzt Gerätecode-Phishing und Adversary-in-the-Middle (AitM)-Taktiken, um Session-Tokens zu stehlen. |
| Credential Access | T1559 Adversary-in-the-Middle | High | Sie nutzt Gerätecode-Phishing und Adversary-in-the-Middle (AitM)-Taktiken, um Session-Tokens zu stehlen. |
| Defense Evasion | T1556.006 Multi-Factor Authentication Evasion: Adversary-in-the-Middle | High | AitM-Taktiken, um Session-Tokens zu stehlen. |
| Persistence | T1136.003 Create Account: Cloud Account | Low | Ziel ist der Kompromittierung von Postfächern. |
- Spezifische Details zu den genutzten Telegram-Kanälen für die Verteilung von Forg365 sind nicht im Artikel genannt.
- Die genaue Anzahl der bereits kompromittierten Organisationen oder Konten wird nicht erwähnt.
- Es werden keine spezifischen IOCs (Indicators of Compromise) wie URLs, IP-Adressen oder Hashes genannt.
- Die genaue Funktionsweise der 'KI-Sicherheit' im Kontext der Abwehr oder des Angriffs wird nicht näher erläutert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Möglich
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Initial Access detektieren?
- Können wir Credential Access detektieren?