ARToken PhaaS 曝光 EvilTokens 的 Microsoft 365 钓鱼工具包

导语:一个名为”ARToken”的新型钓鱼即服务(PhaaS)平台近日曝光,疑为 EvilTokens 钓鱼平台的关联项目。Cisco Talos 研究人员通过分析其暴露的管理面板,揭示了该平台针对 Microsoft 365 的完整攻击工具链以及与 EvilTokens 的技术关联。
平台概览
一个名为”ARToken”的新型钓鱼即服务(PhaaS)平台似乎作为 EvilTokens 钓鱼平台的关联项目运营,向研究人员展示了针对 Microsoft 365 的庞大攻击工具链。
Cisco Talos 研究人员在调查一起事件响应案例中使用的钓鱼基础设施时发现了该平台,并识别出一个名为”ARToken Panel”的、基于 React 的管理面板。该面板暴露了超过 80 个 API 端点。
通过对客户端 JavaScript 代码进行逆向工程,研究人员发现了远超常规钓鱼平台的前所未见的功能。
工具包功能
该平台允许攻击者窃取 Microsoft 365 身份验证令牌,使用主刷新令牌(PRT)建立持久访问,并访问 Outlook 邮箱、SharePoint 站点和 OneDrive 文件。该工具包还包含通过 Cloudflare Workers 部署钓鱼基础设施,以及自动化商业电子邮件入侵(BEC)行动多个环节的工具。
与 EvilTokens 的关联
根据 Talos 的报告,多项技术相似性强烈表明 ARToken 与今年早些时候发现的 EvilTokens 钓鱼平台存在关联。
研究人员发现 ARToken 钓鱼套件使用了与 Microsoft 设备代码身份验证流程相同的 API 调用,包括一个此前与 EvilTokens 攻击相关联的、完全相同的 `POST /api/device/start` 请求。
Talos 还识别出 Sekoia 在其 EvilTokens 研究中记录的主刷新令牌 API 端点,包括用于设置、刷新、续期和重新获取主刷新令牌的端点,即便令牌已过期也能重新获取。
此外,该平台采用了相似的 Cloudflare Workers 部署模式,并以多租户钓鱼服务的形式运营,关联人员可通过专用工作空间管理各自的攻击活动。
设备代码钓鱼手法
EvilTokens 主要利用 Microsoft 的 OAuth 2.0 设备授权许可(Device Authorization Grant)身份验证流程入侵账户,这种技术被称为”设备代码钓鱼”。
受害者被诱骗在 Microsoft 官方的设备登录页面上输入合法的、由 Microsoft 颁发的设备码,从而导致 Microsoft 直接向攻击者而非受害者颁发身份验证令牌。由于受害者是通过 Microsoft 的合法基础设施完成身份验证,攻击能够成功绕过多因素身份验证(MFA)保护。
来源信息
来源:BleepingComputer
作者:Lawrence Abrams

