VENOM PhaaS
Az Abnormal által feltárt VENOM kampány egy fejlett, eddig nem dokumentált phishing-as-a-service (PhaaS) platformra épül, amely kifejezetten felsővezetőket céloz, és célja a Microsoft-alapú fiókok tartós kompromittálása. A támadások nem tömeges jellegűek, hanem név szerint kiválasztott célpontokra irányulnak, ami magas szintű előkészítést és hírszerzési támogatást feltételez.
A támadási lánc kiindulópontja általában egy SharePoint-nak álcázott e-mail, amely pénzügyi dokumentumokra hivatkozva sürgeti a felhasználót. A levélben elhelyezett QR-kód vagy link egy olyan oldalra vezet, amely nem klasszikus phishing login oldalt használ, hanem a legitim Microsoft hitelesítési folyamatot használja ki. Ez kulcsfontosságú eltérés, a támadás nem a jelszót lopja el, hanem a felhasználó által generált hitelesítési tokent szerzi meg.
A VENOM egyik legveszélyesebb sajátossága, hogy képes valós időben proxyzni a bejelentkezési folyamatot, illetve OAuth tokeneket eltulajdonítani, amelyekkel tartós hozzáférés hozható létre. Ez a hozzáférés gyakran túléli a jelszócserét és bizonyos incidenskezelési lépéseket is, mivel a támadó nem egyszerű credentialt, hanem érvényes session- vagy refresh tokent szerez.
Az e-mailek és payloadok úgy vannak kialakítva, hogy átjussanak az automatizált szűrőkön, a támadás a legitim Microsoft infrastruktúrán belül történik, így nehezen detektálható hagyományos URL- vagy domain alapú védelmekkel és a módszer képes megkerülni a többtényezős hitelesítést, mivel a támadás az autentikáció utáni autorizációs réteget célozza.
