Wprowadzenie do problemu / definicja
VENOM to nowo opisana platforma phishing-as-a-service, której operatorzy koncentrują się na przejmowaniu kont Microsoft 365 należących do członków kadry zarządzającej. Kampania wyróżnia się wysokim poziomem personalizacji, wykorzystaniem technik adversary-in-the-middle oraz nadużywaniem mechanizmu device code, co pozwala uzyskać dostęp choćby do środowisk chronionych przez tradycyjne uwierzytelnianie wieloskładnikowe.
To istotna zmiana w krajobrazie zagrożeń, ponieważ celem nie jest już wyłącznie kradzież hasła, ale przejęcie całego procesu logowania, sesji użytkownika i możliwości utrzymania trwałego dostępu. W praktyce oznacza to, iż organizacje muszą patrzeć na ochronę tożsamości szerzej niż tylko przez pryzmat samego MFA.
W skrócie
- VENOM atakuje przede wszystkim CEO, CFO, prezesów oraz menedżerów wysokiego szczebla.
- Kampania wykorzystuje wiadomości podszywające się pod powiadomienia SharePoint.
- Ofiary są nakłaniane do zeskanowania kodu QR prowadzącego do dalszych etapów ataku.
- Napastnicy stosują dwa główne scenariusze: AiTM oraz phishing oparty o device code.
- Kluczowym zagrożeniem jest możliwość utrzymania dostępu choćby po zmianie hasła, jeżeli organizacja nie unieważni sesji i tokenów.
Kontekst / historia
Kampania VENOM została opisana jako operacja wymierzona w wyselekcjonowane osoby z najwyższego szczebla zarządzania w wielu branżach. Nie jest to klasyczny phishing masowy, ale precyzyjny atak ukierunkowany, w którym odbiorcy są dobierani indywidualnie. Taki dobór celów zwiększa szanse powodzenia i pozwala przestępcom skupić zasoby na kontach o najwyższej wartości biznesowej.
Istotny jest także model działania samej platformy. Wszystko wskazuje na to, iż VENOM nie funkcjonuje jako szeroko reklamowane narzędzie dostępne dla wszystkich cyberprzestępcy, ale raczej jako bardziej zamknięty ekosystem przeznaczony dla zweryfikowanych operatorów. Tego rodzaju podejście utrudnia wykrycie i analizę przez środowiska threat intelligence, a jednocześnie zwiększa skuteczność całych operacji.
VENOM wpisuje się w szerszy trend odchodzenia od prostych stron wyłudzających hasła na rzecz technik przejmowania sesji, tokenów oraz legalnych przepływów uwierzytelniania. To istotny sygnał ostrzegawczy dla organizacji, które przez cały czas traktują MFA jako końcową i wystarczającą warstwę ochrony kont uprzywilejowanych biznesowo.
Analiza techniczna
Łańcuch ataku rozpoczyna się od wiadomości e-mail udającej wewnętrzne powiadomienie o udostępnieniu dokumentu w SharePoint. Wiadomości są silnie spersonalizowane i zawierają elementy mające utrudnić detekcję. W kodzie HTML osadzane są losowe klasy CSS, identyfikatory, atrybuty oraz komentarze, które zniekształcają sygnaturę wiadomości i osłabiają skuteczność mechanizmów wykrywania opartych na dopasowaniach statycznych.
Dodatkowo treść wiadomości może zawierać spreparowany wątek konwersacji e-mail dopasowany do odbiorcy. Taka technika poprawia wiarygodność zarówno z perspektywy użytkownika, jak i systemów analizujących strukturę wiadomości. Nadawca bywa konstruowany dynamicznie w sposób sugerujący, iż komunikat pochodzi z domeny organizacji ofiary.
Jednym z najbardziej interesujących elementów kampanii jest użycie kodu QR zbudowanego nie jako klasyczny obraz, ale z wykorzystaniem znaków Unicode renderowanych w HTML. Utrudnia to analizę przez narzędzia skoncentrowane na skanowaniu grafik. Co ważne, interakcja ofiary przenosi się z zarządzanego urządzenia firmowego na telefon, który często znajduje się poza bezpośrednią kontrolą korporacyjnych narzędzi bezpieczeństwa.
Adres e-mail celu jest ukrywany w fragmencie URL po znaku „#” i dodatkowo podwójnie kodowany Base64. Ponieważ fragment adresu nie jest przesyłany do serwera w standardowym żądaniu HTTP, ogranicza to widoczność identyfikatorów ofiary w logach serwerowych i systemach reputacyjnych analizujących linki.
Po zeskanowaniu kodu QR użytkownik trafia na stronę pośrednią pełniącą rolę bramki filtrującej. Jej zadaniem jest oddzielenie realnych ofiar od analityków bezpieczeństwa, sandboxów, botów i automatycznych skanerów. Mechanizm obejmuje między innymi filtrowanie po User-Agent, ocenę reputacji adresu IP, ukryte pola honeypot oraz dodatkowe kontrole po stronie klienta. Osoby lub systemy uznane za nieistotne są przekierowywane do legalnych serwisów, co ogranicza ryzyko wykrycia kampanii.
Jeżeli użytkownik przejdzie etap filtrowania, może zostać skierowany do jednego z dwóch modeli przejęcia dostępu. W wariancie adversary-in-the-middle przestępcy pośredniczą w rzeczywistym procesie logowania do usług Microsoft. Ofiara widzi prawidłowe oznaczenia organizacji, a dane logowania i kody MFA są przekazywane w czasie rzeczywistym do legalnej infrastruktury uwierzytelniającej. Dzięki temu napastnik uzyskuje nie tylko poświadczenia, ale również token sesyjny.
Alternatywnie stosowany jest phishing oparty o device code. W tym scenariuszu użytkownik nie wpisuje hasła do fałszywego formularza, ale sam zatwierdza kod urządzenia w legalnym procesie logowania. To szczególnie niebezpieczne, ponieważ omija wiele klasycznych sygnałów ostrzegawczych związanych z podszytą stroną logowania. Po autoryzacji tokeny dostępu trafiają do infrastruktury kontrolowanej przez napastnika.
Najgroźniejszym aspektem kampanii jest utrwalanie dostępu. W wariancie AiTM platforma może doprowadzić do rejestracji nowego urządzenia MFA lub dodatkowej metody uwierzytelniania jeszcze w trakcie aktywnej sesji. W wariancie device code trwałość zapewnia przechwycony refresh token. Oznacza to, iż sam reset hasła nie zawsze wystarczy do skutecznego usunięcia zagrożenia.
Konsekwencje / ryzyko
Ryzyko związane z VENOM jest bardzo wysokie, ponieważ celem są konta mające dostęp do wrażliwych danych finansowych, planów strategicznych, korespondencji zarządczej oraz procesów akceptacyjnych. Przejęcie takiego konta może prowadzić do oszustw BEC, wycieku dokumentów, nieautoryzowanych zmian w procedurach płatności oraz wtórnej kompromitacji innych systemów SaaS.
Szczególnie groźne jest to, iż kampania wykorzystuje legalne przepływy uwierzytelniania, a nie bezpośrednie łamanie mechanizmów MFA. Użytkownik sam staje się elementem procesu zatwierdzającego dostęp. W efekcie organizacje mogą błędnie uznać, iż skoro MFA zadziałało, konto pozostało bezpieczne.
Dodatkowe zagrożenie wynika z profilu ofiar. Kadra kierownicza często pracuje mobilnie, działa pod presją czasu i codziennie otrzymuje liczne prośby o akceptację dokumentów lub działań biznesowych. To sprawia, iż starannie przygotowane wiadomości podszywające się pod SharePoint czy obieg dokumentów mają wyższą skuteczność niż w przypadku zwykłych użytkowników.
Rekomendacje
Organizacje powinny priorytetowo potraktować ochronę tożsamości i wdrażać metody logowania odporne na phishing, w szczególności klucze FIDO2 lub passkeys powiązane z politykami dostępu warunkowego. Tam, gdzie to możliwe, warto ograniczyć lub wyłączyć przepływ device code dla użytkowników, którzy nie potrzebują go do codziennej pracy.
Zespoły bezpieczeństwa powinny monitorować logi Entra ID pod kątem anomalii związanych z rejestracją nowych urządzeń, zmianami metod MFA, nietypowymi tokenami oraz logowaniami z nowych kontekstów urządzeń i lokalizacji. Szczególną uwagę należy zwrócić na zdarzenia wskazujące na dodanie nowej metody uwierzytelniania bez wiedzy użytkownika.
Warto również rozszerzyć ochronę poczty elektronicznej o detekcję wiadomości zawierających niestandardową strukturę HTML, ukryty szum semantyczny oraz kody QR osadzone w formie tekstowej. Analiza powinna obejmować nie tylko linki, ale także scenariusze QR phishingu i przypadki przenoszenia interakcji na urządzenia mobilne.
W procedurach reagowania na incydenty należy uwzględnić scenariusze kradzieży tokenów. Sam reset hasła nie powinien być traktowany jako pełna remediacja. Konieczne może być unieważnienie aktywnych sesji, cofnięcie tokenów odświeżania, przegląd zaufanych urządzeń oraz weryfikacja wszystkich metod MFA przypisanych do użytkownika.
Nie mniej ważne jest ukierunkowane szkolenie kadry kierowniczej i innych użytkowników wysokiego ryzyka. Powinni oni rozpoznawać nietypowe żądania skanowania kodów QR, weryfikować kontekst udostępnianych dokumentów oraz rozumieć, iż poprawnie wyglądający ekran logowania nie zawsze oznacza bezpieczny proces uwierzytelnienia.
Podsumowanie
VENOM pokazuje, iż współczesny phishing coraz częściej nie polega na prostym wyłudzeniu hasła, ale na przejęciu całego procesu uwierzytelniania i sesji użytkownika. Połączenie personalizowanych wiadomości, QR phishingu, mechanizmów antyanalitycznych, technik AiTM oraz device code phishingu sprawia, iż kampania jest szczególnie skuteczna przeciwko kontom Microsoft 365 należącym do kadry zarządzającej.
Najważniejszy wniosek dla obrońców jest prosty: tradycyjne MFA nie może już być traktowane jako wystarczające zabezpieczenie dla kont o wysokiej wartości. Potrzebne są odporne na phishing metody logowania, ograniczanie ryzykownych przepływów uwierzytelniania, stałe monitorowanie zmian w tożsamościach oraz procedury reagowania uwzględniające kradzież tokenów i utrwalanie dostępu przez napastnika.
