Кампания Kali365: зрелая платформа для кражи токенов Microsoft 365 и BEC-атак

phishing

В середине мая 2026 года специалисты центра мониторинга Huntress SOC зафиксировали необычную активность: устройства авторизовались в Microsoft 365 через поток кода устройства (device code flow) с IP-адресов китайской облачной платформы Tencent Cloud. Пик пришёлся на 20 мая - более 80 успешных событий UserLoggedIn за сутки. Расследование показало, что за этой активностью стоит не единичная фишинговая страница, а зрелая инфраструктура PhaaS (Phishing-as-a-Service) под названием Kali365, известная также как Octopi365 и Freedom365. Эта платформа объединяет несколько вариантов панелей управления, встроенные шаблоны приманок, систему управления токенами, модули на основе искусственного интеллекта для бизнес-компрометации почты (BEC) и настольные приложения, которые превращают украденные токены в реальные сессии браузера.

Описание

Поток кода устройства - это легитимный механизм аутентификации, который Microsoft использует для устройств без полноценного браузера. Злоумышленники заставляют жертву ввести код на странице входа Microsoft, после чего у них появляется токен обновления (refresh token). Он даёт доступ к почтовому ящику и другим сервисам даже после смены пароля и при включённой многофакторной аутентификации (MFA). Именно этот вектор лежит в основе кампании. Жертвы получали электронные письма, которые вели на сайт, размещённый на платформе Canva. Там отображалось уведомление о якобы зашифрованном сообщении, а затем пользователю предлагали ввести код на настоящей странице входа Microsoft. После ввода кода злоумышленник заполучал токен за 42 секунды, а жертву перенаправляли на страницу с надписью "Document Expired".

Как показывает отчёт Huntress, инфраструктура Kali365 построена на принципах "виброкодинга" (vibe coding) - быстрой разработки с помощью генеративных ИИ-инструментов. Панели представляют собой одностраничные приложения на React. Исследователи проанализировали почти 100 тысяч строк JavaScript и выделили три основные редакции платформы, условно обозначенные как E1, E2 и E3. Все они содержат 33 встроенных шаблона приманок, имитирующих популярные сервисы Microsoft: OneDrive, SharePoint, Teams, Outlook, DocuSign, Adobe, а также оповещения о безопасности, сбросе пароля и настройке MFA. Часть шаблонов помечена как "профессиональные" - видимо, для подписчиков более высокого тарифа.

Базовая редакция E1 - это минимальная конфигурация, которая включает обратный прокси для кражи сессионных cookies (AiTM), хранилище токенов, интеграцию с Telegram-ботом для уведомлений о захвате, а также маршрутизацию трафика через Cloudflare Workers с привязкой собственных доменов. Встроенная защита от ботов через Cloudflare Turnstile и опциональный резидентный прокси позволяют маскировать регион входа. Уже в E1 есть панельный маркетплейс доменов на кредитной системе, модуль сбора контактов из захваченной почты для последующих BEC-атак, мониторинг ключевых слов и генератор скриптов для ручного воспроизведения сессий.

Редакция E2 - это версия для посткомпромиссной эксплуатации. В неё добавлен ИИ-модуль BEC, который анализирует перехваченные письма, оценивает их пригодность для мошенничества и генерирует контекстные черновики ответов. Модуль использует большую языковую модель Claude Sonnet. Оператор может отправить письмо прямо из почтового ящика жертвы. Кроме того, E2 включает сканер конфиденциальных данных, автоматически ищущий в письмах сид-фразы криптокошельков, банковские реквизиты и ключи API. Модуль Exchange Admin позволяет администраторам с захваченными правами создавать подставные соединители почты и изменять правила её потока. Приложение OctoLink Live, которое входит в комплект, открывает сессию Chromium с уже аутентифицированным пользователем - без повторного ввода пароля или MFA. Всё выглядит как обычная работа за компьютером, а не как автоматизированное обращение через Graph API.

Редакция E3 ориентирована на массовое распространение доступа к панели. В ней нет модулей BEC и сканера конфиденциальных данных, зато есть API для самостоятельного восстановления аккаунта и продления подписки через криптовалютный шлюз OxaPay. Оператор может оплатить слот, не дожидаясь ручной проверки. Сброс пароля в панели привязан к тому же Telegram-боту, что и уведомления о захвате.

Отдельно стоит описать настольные приложения. OctoLink Live (или Kali365 Live) запускает браузерное окно с использованием украденного токена. Оно отправляет refresh token на сервер Microsoft внутри скрытого окна браузера, получает ESTSAUTH-cookies и перебрасывает оператора на outlook.office.com, admin.microsoft.com или entra.microsoft.com. Все дальнейшие действия выглядят как обычные пользовательские сессии. Вторая программа, OctoLink Sender, предназначена для массовой рассылки писем. Она использует протокол Graph - создаёт черновик, отправляет его, проверяет успешность и удаляет следы. Система ограничивает 2500 писем с одного токена в день, рассылая их волнами по 80 писем с паузами. Если Exchange отклоняет письмо из-за репутационных ограничений, отправка останавливается на 1-4 часа. При этом даже при потере связи с панелью управления программа самостоятельно подтверждает подписку как активную.

Последствия использования такой платформы серьёзны. Злоумышленники получают не просто пароль, а постоянный доступ, который не блокируется сменой пароля или включением MFA. Они могут читать почту, искать платёжные поручения, встраиваться в переписку, перенаправлять транзакции и рассылать фишинговые письма с доверенных адресов. Кампания напоминает тактику, которую Microsoft ранее описывала как Storm-2372, но с более зрелой инфраструктурой и ИИ-инструментарием.

Единственный эффективный способ защиты - политика, максимально ограничивающая использование потока кода устройства. Microsoft рекомендует организациям блокировать его по умолчанию, оставляя исключения только для сотрудников с документально подтверждённой необходимостью. Кроме того, сигналом атаки могут служить аномалии в отправке писем - например, нехарактерные 404-ответы после операции отправки или серийные события входа из неизвестных IP-адресов с короткими интервалами. Однако обнаружить само приложение OctoLink Live на удалённом рабочем месте сложно: оно использует обычный Chromium, и отличить его от легитимной сессии можно только по специфическому User-Agent (octolink-live), который разработчики, скорее всего, вскоре замаскируют. Поэтому основной упор следует делать на превентивные меры - блокировку неиспользуемых потоков аутентификации и мониторинг необычного сетевого трафика.

Индикаторы компрометации

IPv4

  • 162.62.121.57
  • 162.62.218.217
  • 162.62.226.76
  • 162.62.230.6
  • 162.62.232.182
  • 162.62.233.174
  • 162.62.55.210
  • 170.106.106.217
  • 170.106.107.226
  • 170.106.116.24
  • 170.106.119.249
  • 170.106.141.49
  • 170.106.176.195
  • 170.106.186.18
  • 170.106.76.156
  • 206.188.197.215
  • 43.157.108.91
  • 43.157.118.80
  • 43.157.80.139
  • 43.157.82.209
  • 43.157.84.24
  • 43.157.88.63
  • 43.157.90.64
  • 43.159.171.69
  • 43.165.1.42
  • 43.166.139.181
  • 43.166.203.164
  • 43.166.211.243
  • 43.166.212.81
  • 49.51.141.209
  • 49.51.142.193
  • 49.51.166.31
  • 49.51.168.193
  • 49.51.169.90
  • 49.51.202.230
  • 49.51.203.63
  • 64.7.198.10
  • 65.38.120.24

Комментарии: 0