Новый фишинговый сервис Kali365 угрожает корпоративной переписке через OAuth-уязвимости

В основе работы Kali365 лежит протокол OAuth Device Code Flow (поток с кодом устройства, предназначенный для аутентификации на устройствах без браузера). Эта техника давно используется в операциях по компрометации бизнес-почты, поскольку позволяет обойти стандартную многофакторную аутентификацию. Вместо того чтобы вводить пароль, жертва получает код, который вводит на странице входа Microsoft, Google или другого провайдера. Злоумышленник перехватывает этот код и получает токен доступа, дающий ему полный контроль над почтовым ящиком и подключёнными сервисами. Kali365 автоматизирует все этапы такого нападения.

Сервис распространяется через каналы в Telegram. Стоимость подписки составляет около 250 долларов США в месяц при оплате криптовалютой Bitcoin (биткоин). Это заметно дешевле, чем у аналогичных инструментов, например EvilTokens, что делает порог входа для начинающих киберпреступников значительно ниже. В аналитическом отчёте эксперты отметили, что Kali365 обладает развитой панелью управления, которая включает модули для сканирования почтовых ящиков, создания фишинговых страниц, автоматической рассылки сообщений и даже генерации текстов приманок с помощью встроенного чат-бота на базе искусственного интеллекта.

Панель управления Kali365 - это полноценное веб-приложение. Она предлагает пользователю функционал для управления захваченными токенами, работы с приманками и доменами, а также для организации целевых атак на конкретные организации. Например, злоумышленник может подключить собственный домен, привязать к нему Cloudflare Worker (скрипт, выполняемый на инфраструктуре компании Cloudflare) и направить жертву на поддельную страницу входа. При этом используются десятки сгенерированных поддоменов, чтобы обходить системы репутационных фильтров.

Особый интерес представляет функция просмотра почтового ящика прямо из панели управления. Инструмент позволяет открывать захваченные аккаунты Outlook и других провайдеров в режиме реального времени. Таким образом, атакующий может читать переписку, искать конфиденциальные документы, а затем использовать их для дальнейшего шантажа или продажи. Кроме того, встроенный модуль извлечения адресов позволяет собрать все контакты из скомпрометированной учётной записи и начать новую волну фишинга уже от имени легитимного пользователя.

Kali365 также включает механизмы для автоматизации рассылок. С их помощью можно организовать массовую отправку фишинговых писем всем контактам жертвы, при этом шаблон письма генерируется искусственным интеллектом на основе анализа переписки. Система обходит ограничения почтовых сервисов, поскольку письма отправляются с реального, уже скомпрометированного ящика. Для злоумышленника это означает, что каждая атака становится более персонализированной и убедительной.

С точки зрения защиты, появление Kali365 означает рост угрозы для корпоративных сред, использующих облачные почтовые сервисы. Основная уязвимость, которую эксплуатирует инструмент, заключается в том, что протокол OAuth Device Code Flow по умолчанию поддерживается многими платформами и далеко не всегда блокируется администраторами. Компании давно внедрили многофакторную аутентификацию, но при использовании данного потока она не помогает, так как жертва добровольно вводит код, считая, что авторизует легитимное приложение.

Рекомендуется обратить внимание на политики условного доступа, которые позволяют запретить использование Device Code Flow для всех пользователей, кроме административных учётных записей. Также важно настроить оповещения о необычных попытках аутентификации, например, когда код устройства вводится с незнакомого IP-адреса или из неизвестного региона. Дополнительным барьером может стать внедрение решений для мониторинга активности приложений OAuth: любое приложение, запрашивающее доступ к почтовому ящику, должно проходить проверку на соответствие корпоративным политикам.

На данный момент Kali365 уже замечен в атаках на организации в Северной Америке и Европе. Учитывая низкую цену и широкий набор возможностей, можно ожидать, что число инцидентов с его использованием будет расти. Специалистам по безопасности рекомендуется включить в свои системы обнаружения сигнатуры, связанные с инфраструктурой Kali365. В частности, стоит обращать внимание на запросы к Cloudflare Workers, имена которых соответствуют шаблонам, описанным в открытых источниках. Также полезно отслеживать появление подозрительных сессий OAuth, особенно если они содержат код устройства, отправленный с необычных устройств.

Появление таких инструментов, как Kali365, - очередное напоминание о том, что традиционные методы защиты, основанные на блокировке вредоносных ссылок и вложений, уже не работают. Злоумышленники переходят на использование легитимных протоколов и инфраструктуры, обманывая самих пользователей. Корпоративная безопасность должна смещаться в сторону поведенческого анализа и строгих политик доступа. В ближайшее время эксперты ожидают появление ещё большего числа аналогов Kali365, что потребует от бизнеса пересмотра стратегии защиты от компрометации учётных записей.

IPv4

• 102.89.22.100
• 157.230.53.233
• 159.203.163.96
• 162.243.166.119
• 167.99.0.116
• 199.91.220.111
• 216.203.20.95

Domains

• [targeted organisation].sharepoint-msviewer.com
• access-base-yz6o.p-uhv4e1ee.workers.dev
• access-file-z1or.steve-c57.workers.dev
• acqxx-nikg-5cub.p-8kehah0a.workers.dev
• api.duemineral.uk
• api.kali365.xyz
• app-edge-8bqf.p-j65j3f1q.workers.dev
• auth.kali365.xyz
• auth.loadingdocuments.uk
• base-flow-38xb.p-l3bhkqec.workers.dev
• base-mail-w7v5.p-onnw7z7w.workers.dev
• box-note-1qu3.p-xqs8hnkj.workers.dev
• chrji-fhav-oz04.p-qtlv10l7.workers.dev
• cloud-access-03pv.bdeda974c99320a3040456b8.workers.dev
• cloud-access-uc53.p-vy4za09n.workers.dev
• cloud-link-j46j.p-zltii3tp.workers.dev
• cloud-view-hb2b.boom-book.workers.dev
• core-box-iz5s.reckagrace.workers.dev
• core-flow-0np5.pdfonlinedocsdocs-outlook-com-s-account.workers.dev
• core-mail-etk1.p-b8eaz6oe.workers.dev
• core-portal-g1cv.ran04don.workers.dev
• data-doc-sfym.p-50ds7vs5.workers.dev
• data-drive-bd71.p-4bpdi3hp.workers.dev
• data-form-f5at.p-lvqyivvk.workers.dev
• doc-note-82oj.p-ll66wpsr.workers.dev
• doc-open-z062.p-4510rez0.workers.dev
• drive-edge-lzl0.p-8pd549l5.workers.dev
• drive-mail-wmou.pwyv30sj.workers.dev
• egvmu-ejrp-8rmc.royalbase3.workers.dev
• file-base-ggoa.p-yxcqepyg.workers.dev
• file-doc-uhug.p-ao3eomo9.workers.dev
• file-drive-g180.p-lmilwl5o.workers.dev
• file-share-9p2m.papastrious.workers.dev
• file-sync-tczr.p-77iqt3w6.workers.dev
• flow-open-7ff0.p-ygj98iy2.workers.dev
• flow-store-gyoz.p-o9vztksz.workers.dev
• form-cloud-t655.p-oejdzrsz.workers.dev
• form-doc-wyiy.p-xqs8hnkj.workers.dev
• form-hub-lfct.p-utpgo2kb.workers.dev
• gmkcb-bdxh-03l9.c-cmd509g3.workers.dev
• hub-app-8ee1.p-kegps6il.workers.dev
• hub-flow-2qs3.p-qn7zcudl.workers.dev
• kali365.xyz
• link-app-jhzt.p-ux0nzmb5.workers.dev
• loadingdocuments.uk
• login.sharepoint-msviewer.com
• ls.sharepoint-msviewer.com
• mail-link-zkfq.p-qjt4uz2n.workers.dev
• net-open-55eu.p-r3k6zulh.workers.dev
• net-web-qo53.p-2f5hwpkd.workers.dev
• net-web-wnqd.p-8r4315uz.workers.dev
• note-access-nj2w.rob-c2d.workers.dev
• nysexams.com
• open-share-njlb.p-l4yg6fjb.workers.dev
• oynfe-roik-zlpe.c-qtkfck53.workers.dev
• page-core-sv2l.p-anmh2mbc.workers.dev
• page-mail-vm24.p-8xzcvt1x.workers.dev
• page-sync-4pib.p-qtlv10l7.workers.dev
• panel.loadingdocuments.uk
• pgfqi-epwc-d1t6.p-1razygxw.workers.dev
• pohlusa.co
• portal-cloud-cs2c.p-ewgaj1gg.workers.dev
• portal-share-tj8e.p-50ds7vs5.workers.dev
• pwjss-npaw-3soj.mary-3fb.workers.dev
• rwlha-qilv-ic1v.p-rrw76os2.workers.dev
• secure-link-ek3t.c-kzevzz5a.workers.dev
• sharepoint-63m.pages.dev
• sharepoint-81c.pages.dev
• share-portal-r6le.p-deum4gog.workers.dev
• store-open-rc2p.p-ko5g87h5.workers.dev
• sync-link-z79k.bartlett-pamela.workers.dev
• sync-page-pwra.p-rrw76os2.workers.dev
• sync-portal-jumn.p-ajmeubmp.workers.dev
• sync-store-ur85.p-lboid22u.workers.dev
• sync-vault-lpwq.p-zhge84gd.workers.dev
• tiny-water-f307.eggzhan.workers.dev
• tryingdocusign.pages.dev
• v2.duemineral.uk
• v2.kali365.xyz
• vault-access-pg0o.misty-pine-60bb.workers.dev
• vault-cloud-maou.p-afw8621d.workers.dev
• vault-web-s3ue.p-y10utwre.workers.dev
• view-base-5vpr.3mdcy99f8511wpsebllpbkjizyg3run6.workers.dev
• view-open-jiif.bryanray1104.workers.dev
• view-portal-exuw.b875e3d068d947ba88099fe9.workers.dev
• view-sync-9r5b.p-y9fhvs2p.workers.dev
• www.abt90.org
• www.cecyani.xyz
• www.democrakidsradio.org
• www.duemineral.uk
• www.mediaplanung.biz
• www.nikadent.icu
• www.stpaulscathedralokc.org
• www.trulites.com
• www.walter-software.com