Kali365 превращает вход Microsoft в инструмент фишинга#
FBI предупреждает о Kali365 — phishing-as-a-service платформе, которую используют для угона аккаунтов Microsoft 365 без прямой кражи паролей и без перехвата MFA-кодов.
Главное здесь — метод. Kali365 злоупотребляет легитимным механизмом Microsoft OAuth 2.0 Device Authorization grant flow. Этот flow нужен для устройств, где неудобно вводить данные: телевизоров, принтеров, систем переговорных комнат, ТВ-приставок и IoT-оборудования. Устройство показывает короткий код. Пользователь открывает страницу входа Microsoft для устройств на другом устройстве, вводит код и проходит аутентификацию.
В фишинговом сценарии атакующий запускает этот flow первым. Он получает код, а затем убеждает жертву ввести его на настоящем портале Microsoft для device login. Если жертва проходит MFA, Microsoft выдает OAuth access token для сессии, которую начал атакующий.
Поэтому такой класс атак опасен. Жертва может не вводить пароль на поддельной странице. Она может не передавать одноразовый MFA-код. Она может работать с настоящей страницей входа Microsoft. Но при этом она авторизует чужую сессию.
Что, по данным FBI, умеет Kali365#
Согласно отчету, Kali365 впервые появился в апреле 2026 года и распространяется через Telegram-каналы среди киберпреступных покупателей. Обещание простое: снизить порог навыков, нужных для компрометации аккаунтов Microsoft 365.
В предупреждении FBI перечислены возможности Kali365: фишинговые приманки, созданные с помощью AI, автоматизированные шаблоны кампаний, панели отслеживания жертв в реальном времени и функции захвата токенов. Это важно, потому что phishing-as-a-service не обязан каждый раз находить новую слабость в аутентификации. Он упаковывает повторяемую технику злоупотребления в сервисную модель.
BleepingComputer также ссылается на более ранние публикации о device-code и voice-phishing атаках против аккаунтов Microsoft Entra, включая активность, связанную с вымогательскими группами вроде ShinyHunters. Источник также цитирует исследование Arctic Wolf от апреля, где описана широкая активность Kali365 против организаций по всему миру.
В таких кампаниях фишинговые письма направляли жертв на портал Microsoft для входа по device code. Жертва вводила код, предоставленный атакующим, и неосознанно давала доступ. После компрометации злоумышленники заходили в почтовые ящики и создавали вредоносные inbox rules, чтобы скрыть свою активность. В некоторых случаях они также регистрировали новые устройства в Microsoft-среде жертвы, закрепляясь глубже.
Arctic Wolf описывает Kali365 как структуру, работающую по бизнес-модели. По данным исследователей, в ней есть администраторы, отвечающие за разработку, реселлеры, продвигающие сервис, и affiliates, запускающие кампании. Такая схема знакома по другим киберкриминальным рынкам: техника превращается в цепочку поставки.
Неприятный урок про MFA#
Эта атака не доказывает, что MFA бесполезна. Она показывает другое: MFA не равна полноценному решению о доверии.
MFA по-прежнему хорошо защищает от многих простых атак на учетные данные. Но device code phishing меняет вопрос. Атакующий не всегда пытается технически обойти MFA. Он пытается заставить пользователя пройти MFA для сессии, которую контролирует сам.
После выдачи OAuth token злоумышленник получает доступ ко всему, к чему пользователь может обращаться через single sign-on. Источник отдельно упоминает Microsoft 365, Salesforce и другие cloud SaaS платформы, подключенные через аккаунт пользователя. На практике радиус поражения зависит от прав пользователя, Conditional Access правил, session controls, доверия к устройству и доступа к связанным приложениям.
Организациям не стоит сводить это к обычной истории про фишинг. Украденный пароль можно сбросить. Вредоносное inbox rule может пережить первый вход. Зарегистрированное устройство под контролем атакующего может изменить путь восстановления. Валидный токен может выглядеть менее подозрительно, чем грубая попытка входа с известного вредоносного хоста.
Проблема контроля не только в вопросе «прошел ли пользователь MFA?». Важнее другое: какую сессию он авторизовал, из какого контекста, для какого устройства и с каким последующим доступом?
Cookie Link дает второй путь#
Источник также описывает второй режим атаки Kali365 под названием Cookie Link. По данным Arctic Wolf, это adversary-in-the-middle режим.
В такой схеме трафик жертвы проходит через инфраструктуру под контролем атакующего. После того как жертва входит в аккаунт и проходит MFA, злоумышленник перехватывает аутентифицированные браузерные сессии, session cookies и токены. Это другой маршрут к той же стратегической цели: не просить пароль снова, а забрать сессионные материалы, которые уже подтверждают успешную аутентификацию.
Детали важны, потому что защитные меры часто строятся вокруг кражи учетных данных как главного события. Эти кампании показывают, почему кража сессий и делегированная авторизация требуют такого же внимания. Если helpdesk, правило детекта или процесс реагирования спрашивают только, был ли раскрыт пароль, они могут пропустить более ценный для атакующего актив.
Что проверить организациям#
FBI рекомендует по возможности ограничить или полностью заблокировать device code authentication flows через Conditional Access policies. Это самый чистый контроль, если бизнесу этот flow не нужен.
Если device code authentication действительно требуется, его не стоит оставлять широким дефолтом. Организациям нужно проверить, где он используется, каким пользователям и приложениям он нужен, и можно ли сузить эти сценарии. Старое удобство не должно превращаться в постоянный внешний путь доступа.
FBI также рекомендует блокировать authentication transfer policies, которые позволяют переносить сессии аутентификации между устройствами. Источник дополнительно говорит, что пострадавшим организациям следует сообщать об инцидентах в Internet Crime Complaint Center и сохранять фишинговые письма, данные подозрительных входов и записи о неавторизованных регистрациях устройств.
Практические проверки для защитников:
- Проверьте Conditional Access rules для device code authentication.
- Проаудируйте недавнее использование device code в Microsoft Entra и Microsoft 365.
- Ищите подозрительные OAuth grants, незнакомые устройства и необычный доступ к приложениям.
- Проверьте mailbox rules на скрытую пересылку, удаление писем или перемещение по папкам.
- Разберите успешные входы с необычной географией, устройством или client patterns.
- Сохраните фишинговые сообщения и артефакты входа до очистки.
Для обучения пользователей формулировка должна быть точной. Не говорите только «не вводите данные на поддельных страницах». В этих атаках страница Microsoft может быть настоящей. Сигнал опасности — просьба ввести device code, если пользователь сам не начинал вход с устройства.
Где не стоит преувеличивать#
Доступный источник не утверждает, что скомпрометирован каждый Microsoft 365 tenant. Он не говорит, что device code authentication вредоносен по своей природе. Он не дает универсального числа эксплойтов, числа жертв или гарантированного набора индикаторов.
Утверждение уже и при этом серьезное: Kali365 упаковывает device code phishing и техники захвата сессий для более широкого криминального использования, а FBI предупреждает организации, что нужно сокращать поверхность атаки.
Общий тренд достаточно понятен. Атакующие переходят к сценариям, где пользователь проходит обычную аутентификацию, включая MFA, но выдает доступ не той стороне. Поэтому identity security все меньше сводится к одному окну входа и все больше зависит от всей цепочки: authorization flow, выдача токена, перенос сессии, регистрация устройства и последующий доступ к SaaS.
Если Microsoft 365 критичен для организации, это стоит проверить сейчас. Не потому, что Kali365 — единственный инструмент такого типа, а потому что сама схема легко повторяется.