FBIが警告した新しいフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Kali365」が、主にTelegramを通じて野放しで配布されています。
2026年4月に初めて検出されたKali365は、サイバー脅威アクターにAI生成フィッシング誘導文、自動キャンペーンテンプレート、リアルタイム標的個人・実体追跡ダッシュボードへのアクセスを提供します。
また、技術的レベルの低い個人がOAuthトークン(Microsoft 365アクセストークン)をキャプチャし、ユーザーの認証情報をインターセプトすることなく多要素認証(MFA)プロトコルをバイパスできるようにします。
Kali365プラットフォームのサブスクリプションを通じて、サイバー脅威アクターは標的となる個人または実体のMicrosoft 365環境への永続的なアクセスを取得できます。
Kali365攻撃チェーン
5月21日に公開されたFBIのアドバイザリで詳述された典型的な攻撃チェーンでは、攻撃者が信頼できるクラウドプロダクティビティおよびドキュメント共有サービスになりすましたフィッシングメールを送信することで詐欺を開始します。
このメールには、デバイスコードと、正規なMicrosoft検証ページにアクセスしてコードを入力するための指示が含まれています。
被害者は本物のMicrosoftページに移動し、デバイスコードを貼り付けることで、気づかないうちに攻撃者のデバイスが自分のアカウントにアクセスすることを認可してしまいます。
攻撃者はOAuthアクセストークンとリフレッシュトークンをキャプチャし、標的となる個人または実体のMicrosoft 365アカウントへのアクセス権を獲得します。
これらのトークンを手に入れた攻撃者は、パスワードを必要とせず、追加のMFAチャレンジを完了することなく、OutlookやTeams、OneDriveなどのMicrosoft 365サービスにアクセスでき、侵害されたアカウント内に永続性を確立できます。
Kali365のような脅威の軽減
Kali365対応のサイバー犯罪者に標的にされる脅威を軽減するために、FBIは以下の措置を推奨しています:
- デバイスコードフローを制限して、デバイス認証コードを制限またはブロックする
- 必要なビジネスプロセスを除いて、すべてのユーザーに対してデバイスコードフローをブロックする条件付きアクセスポリシーを作成する
- 認証転送ポリシーをブロックして、ユーザーがコンピュータからモバイルデバイスへ認証を転送することを防ぐ
- ロックアウトを防ぐために緊急アクセスアカウントを除外する
画像クレジット:Ed Hardie / Unsplash
翻訳元: https://www.infosecurity-magazine.com/news/fbi-kali365-phishing-kit-m365/
