Аналитики Todyl раскрыли PhaaS-платформу Kali365, способную обходить многофакторную аутентификацию

phishing

В мире кибербезопасности редко случается так, что одно случайное наблюдение ведёт к раскрытию целой преступной инфраструктуры. Именно это произошло, когда дежурный аналитик компании Todyl MXDR заметил необычную закономерность: один и тот же IP-адрес снова и снова всплывал в нескольких расследованиях, связанных с компрометацией деловой переписки (Business Email Compromise, BEC). Вместо того чтобы закрыть очередной тикет, специалист решил проследить за аномалией. Как выяснилось, за этим адресом скрывалась полностью готовая к работе платформа для фишинга как услуги (Phishing-as-a-Service, PhaaS) под названием Kali365, которая не была известна ни одному крупному вендору кибербезопасности.

Описание

Kali365 - это коммерческий инструмент, распространяемый через Telegram по подписке примерно за 250 долларов в месяц (оплата принимается в биткоинах). Он создан для того, чтобы даже злоумышленники с минимальными техническими навыками могли запускать масштабные кампании по краже учётных данных. Платформа нацелена исключительно на среду Microsoft 365. Впервые о ней публично рассказали эксперты Palo Alto Networks Unit 42 ещё в апреле 2026 года, но с тех пор инструмент только развивался. Его возможности действительно впечатляют, и не с лучшей стороны.

Архитектура Kali365 построена на обратном прокси-сервере. Жертва видит идеальную копию страницы входа Microsoft, но каждое нажатие клавиши - логин, пароль и код многофакторной аутентификации (МФА) - в реальном времени передаётся злоумышленнику. Самое опасное заключается в том, что атакующий перехватывает токен сессии после успешного прохождения МФА. Получив этот токен, он может импортировать его в свой браузер и получить полный доступ к учётной записи, не вводя пароль и не проходя повторную аутентификацию. Для Microsoft такой вход выглядит абсолютно легитимным: пользователь выполнил вход, прошёл проверку, всё в порядке.

Дополнительно платформа оснащена встроенным ИИ-чат-ботом для генерации убедительных фишинговых писем. Оператору достаточно выбрать сценарий - уведомление о новом документе, поддельный счёт или сообщение от имени Microsoft, - и бот сам напишет письмо без единой ошибки. После того как токен захвачен, Kali365 автоматически сканирует почтовый ящик жертвы, извлекает контакты и определяет наиболее ценные цели для дальнейших атак. При этом злоумышленники могут отправлять фишинговые сообщения прямо из скомпрометированного аккаунта. Письмо приходит с реального адреса, с историей переписки, и получателю практически невозможно отличить его от настоящего.

Инфраструктура платформы выстроена с прицелом на скрытность и скорость. Домен securehubcloud[.]com, который аналитики Todyl обнаружили в ходе расследования, был зарегистрирован всего за три дня до того, как на него обратили внимание. Он использовал услуги регистратора NameSilo с защитой WHOIS через PrivacyGuardian.org, DNS управлялся через Cloudflare, а SSL-сертификат был автоматически выпущен Let's Encrypt в день регистрации домена. Вся схема заточена на то, чтобы разворачивать новые точки быстро и избегать блокировок.

Для размещения фишинговых страниц применялись Cloudflare Workers. Облачная инфраструктура Cloudflare имеет высокий репутационный рейтинг, поэтому URL-адреса на её основе редко попадают в чёрные списки. Сам сервер, на котором работала панель управления, находился у провайдера BL Networks в Шеридане, штат Вайоминг. По данным аналитиков, этот хостинг отличается характерными признаками "бронебойного" размещения: он терпимо относится к жалобам на злоупотребления и не спешит реагировать на запросы о блокировке. Сканирование портов показало, что на сервере открыты четыре порта: 22 (SSH для удалённого управления), 80 и 443 (стандартные HTTP/HTTPS), а также 8443 - дополнительный порт, обслуживавший панель оператора. Такая двойная структура позволяет разделять трафик: порт 443 отдаёт фишинговую страницу жертве, а порт 8443 даёт доступ к административному интерфейсу.

Сами панели управления - это мрачный, хакерский стиль. Одна из страниц регистрации имела тёмную тему и предлагала подписку "Monthly (Pro)" на 30 дней за 250 долларов. Там же присутствовало поле для реферального кода, что подтверждает партнёрскую программу: операторы получают процент с подписок привлечённых ими новых пользователей. Другая страница - лаконичный интерфейс входа с красным текстом на чёрном фоне. Никаких барьеров - достаточно оплатить, и можно начинать кампанию.

Последствия использования такого инструмента для организаций крайне серьёзны. Многофакторная аутентификация, которая считается золотым стандартом защиты, оказывается бесполезной. Мошенники проходят её наравне с законным пользователем, а затем свободно перемещаются внутри скомпрометированного аккаунта. Они могут читать переписку, скачивать вложения, создавать правила пересылки писем на внешние адреса и, если получат доступ к учётной записи администратора, менять пароли, отключать пользователей или создавать новые учётные записи. Единственный способ вовремя заметить аномалию - это отслеживать поведение после аутентификации.

Аналитики Todyl подчёркивают: традиционные блок-листы и сигнатуры здесь бессильны. Домену было всего три дня, и на VirusTotal он имел нулевое количество детекций среди всех ведущих вендоров. Если ждать, пока свежий домен попадёт в базы угроз, атака уже будет завершена. Эффективным может быть только поведенческий анализ: внезапное создание правил пересылки сразу после входа в систему, массовый экспорт контактов, вход с незнакомого IP-адреса или устройства. Именно такие сигналы должны бить тревогу, а не проверка по списку известных зловредных адресов.

Для защиты от подобных угроз эксперты рекомендуют внедрять политики условного доступа, которые привязывают использование токена сессии к конкретным доверенным устройствам или IP-диапазонам. Следует сократить время жизни сессионных токенов, чтобы даже украденный ключ быстро устарел. Важно настроить мониторинг аномальных входов в Microsoft Entra ID: система может выявлять попытки входа из необычных географических точек или через анонимные прокси. Однако главный урок, который вынесли специалисты Todyl, заключается в том, что анализ угроз не должен ограничиваться закрытием отдельных инцидентов. Только сопоставляя данные из разных расследований, можно заметить ту самую повторяющуюся комбинацию - IP-адрес, домен, паттерн поведения, - которая ведёт к раскрытию целой сети атак. Это требует от команд кибербезопасности не только инструментов, но и полномочий выходить за рамки отдельно взятого случая.

Домен securehubcloud[.]com и все связанные с ним индикаторы - IP-адрес 66.179.30[.]87, поддомены origin, panel, api, boss - уже добавлены в списки блокировки. Но как показало это расследование, злоумышленники могут в любой момент развернуть новую инфраструктуру, и её никто не заметит, пока не случится атака. Рынок киберпреступности эволюционирует: то, что раньше было уделом хакеров-одиночек, теперь превратилось в услугу с подпиской, реферальной программой и удобным интерфейсом. Защитникам приходится признать: многофакторная аутентификация и антивирусные базы - лишь первый рубеж. Реальная оборона начинается там, где анализ не прекращается после успешного входа в систему.

Индикаторы компрометации

IPv4

  • 66.179.30.87

Domains

  • api.securehubcloud.com
  • boss.securehubcloud.com
  • origin.securehubcloud.com
  • panel.securehubcloud.com
  • securehubcloud.com

Комментарии: 0