フィッシング詐欺サービス「Forg365」、Microsoftデバイスコード認証を悪用しM365セッションを乗っ取り

新たに確認されたフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Forg365」が、Microsoftのデバイスコード認証フローを悪用し、大規模にMicrosoft 365セッションを乗っ取っていることが分かりました。

ZeroBECの研究者たちは、ビジネス文書を装ったフィッシングメールの出所を追跡した結果、AI生成の誘導文言、トークン窃取、永続的なセッションアクセスをサブスクリプションサービスとして提供する、完全に商品化されたオペレーターパネルにたどり着きました。

Forg365はSaaS型のビジネスモデルで運営されており、配布はすべてTelegram経由で行われ、オンボーディングやサポート、支払いの調整もすべてTelegramチャンネル上で直接行われています。

ZeroBECチームは、5日間の無料トライアルに加え、月額$400、年間契約では$3,800という料金体系を確認しており、Forg365が使い捨てのフィッシングキットではなく、継続的にメンテナンスされる商用サービスとして位置づけられていることがうかがえます。

この配布パターンは、FBIのIC3が2026年5月の勧告でTelegram配布のキットによるMicrosoft 365 OAuthトークン窃取を指摘した、類似のPhaaSプラットフォーム「Kali365」と共通しています。

主要なオペレーターパネルはlogfriend[.]comでホストされており、OAuthアプリの設定、SMTPローテーション、AI支援によるメール生成、盗んだ認証情報を管理する「Token Vault」など、成熟したツール一式を備えています。このプラットフォームは2つの異なる攻撃経路をサポートしています。

デバイス認証を悪用する経路では、Microsoft風の確認コードを表示し、被害者を正規のMicrosoft Authentication Brokerのフローへとリダイレクトします。これにより、パスワードを一切明かすことなく、被害者に攻撃者が制御するセッションを承認させてしまいます。この手法は、EvilTokensや2026年初頭以降のKali365など、PhaaSキット全般でますます一般的になりつつあります。

Microsoft Entraのテレメトリからは、デバイスコード認証の際にキャンペーンの活動がComcast/Xfinityの住宅用IPアドレスに紐づいており、その後ウクライナ・キーウにホストされたForg365のバックエンドへとつながっていることが判明しました。このバックエンドは、Microsoft Graphの操作やデバイス登録といった活動を実行していました。

侵害されたテナントでは、「Forg365」を接頭辞に持つ名前のEntra参加デバイスが確認されています。研究者らは、これがこうしたキットを使う攻撃者に広く見られる特徴と一致していると指摘しており、攻撃者はデフォルトのまま、あるいは予測しやすいデバイス名を残すことが多いため、新規デバイス登録を積極的に監視している防御担当者にとっては、検知がいくらか容易になるとしています。

配信経路ではAmazon SESやSendGridといった正規サービスも悪用されており、フィッシングメールを通常のSaaSトラフィックに紛れ込ませた上で、Cloudflareでホストされたランディングページや、Gophishベースの送信コンポーネントを経由して被害者をリダイレクトしていました。

Zerobecの説明によると、Microsoftはデバイスコード認証フローを高リスクな認証方式としてすでに分類しています。これは、まさに今回のようなフィッシング攻撃に悪用されうるためです。

今回の事例は、AIがPhaaSのオペレーターパネルに直接組み込まれる段階に至っていることも示しています。これにより、技術力の低いアフィリエイトでも参入できる敷居が下がる一方、熟練したオペレーターにとってはトークン窃取やメールボックス監視をきめ細かく制御できる手段が提供されています。

Forg365は、より大きな潮流を象徴しています。PhaaSプラットフォームは、単純な認証情報窃取キットから、最初のフィッシング後も長期にわたってアクセスを維持する、AIを組み込んだ本格的なID攻撃エコシステムへと進化を遂げつつあります。

翻訳元: https://cyberpress.org/forg365-phaas-abuses-microsoft-device-code-flow/

ソース: cyberpress.org