خانه » حمله EvilTokens به Microsoft 365؛ تصاحب حساب‌ها با سوءاستفاده از Device Code
اخبار سایبریاخبار فیشینگ

حمله EvilTokens به Microsoft 365؛ تصاحب حساب‌ها با سوءاستفاده از Device Code

توسط Vulnerbyte_News
نوشته شده توسط Vulnerbyte_News 61 بازدید
حمله EvilTokens

در جدیدترین کمپین Phishing-as-a-Service (PhaaS)، ابزار مخرب EvilTokens با سوءاستفاده از Device Code مایکروسافت توانسته است مسیر جدیدی برای تصاحب حساب‌ها (Account Takeover) درMicrosoft 365 ایجاد کند. مهاجم با استفاده از EvilTokens بدون سرقت مستقیم رمز عبور، کاربران را به تکمیل فرآیند لاگین کاملاً قانونی هدایت می‌کند و در نهایت توکن دسترسی (Access Token) را به دست می‌آورد. همین موضوع باعث شده سوءاستفاده از Device Code مایکروسافت به یکی از خطرناک‌ترین تکنیک‌های نوین در حوزه فیشینگ تبدیل شود.

EvilTokens چیست و چگونه عمل می‌کند؟

ابزار EvilTokens که نخستین‌بار توسط محققان Sekoia شناسایی شد، یک کیت PhaaS است که امکان اجرای حملات پیچیده را بدون نیاز به زیرساخت سنگین فراهم می‌کند. در قلب این حمله، سوءاستفاده از Device Code مایکروسافت قرار دارد که به مهاجمان اجازه می‌دهد از مکانیزم‌های قانونی احراز هویت سوءاستفاده کنند.

برخلاف حملات رایج Adversary-in-the-Middle (AitM) که صفحات لاگین جعلی ایجاد می‌کنند، این حمله از تکنیک Device Code Phishing استفاده می‌کند:

  • هدایت کاربر به صفحه رسمی مایکروسافت
  • وارد کردن یک device code معتبر
  • تکمیل فرآیند احراز هویت حتی احراز هویت چندعاملی (MFA)، به‌صورت کاملاً طبیعی

اما نتیجه نهایی، سرقت توکن دسترسی است که مهاجم را قادر می‌سازد بدون ورود به رمز عبور به حساب دسترسی داشته باشد.

مکانیزم سوءاستفاده از Device Code مایکروسافت

مکانیزم Device Code Flow (فرآیند احراز هویت با کد دستگاه) در اصل برای ساده‌سازی لاگین در دستگاه‌هایی مانند تلویزیون‌های هوشمند یا ابزارهای خط فرمان (CLI) طراحی شده است. در حمله EvilTokens:

کاربر:

  • یک کد دریافت می‌کند.
  • آن را در صفحه رسمی مایکروسافت وارد می‌کند.
  • احراز هویت را تکمیل می‌کند.

مهاجم:

  • یک Device Code معتبر تولید می‌کند.
  • با مهندسی اجتماعی کاربر را فریب می‌دهد.
  • پس از لاگین کاربر، توکن دسترسی را دریافت می‌کند.

نتیجه: مهاجم بدون سرقت رمز عبور، به حساب کاربر دسترسی کامل پیدا می‌کند.

چرا حمله EvilTokens خطرناک‌تر از فیشینگ سنتی است؟

این تکنیک قادر است چندین لایه دفاعی را دور بزند:

  • عدم امکان سرقت اطلاعات ورود (Credential Interception)
  • استفاده از دامنه رسمی مایکروسافت
  • عبور کامل از MFA
  • عدم ایجاد هشدارهای معمول لاگین مشکوک

فعالیت‌های انجام‌شده شبیه عملکرد طبیعی کاربر است و تشخیص آن برای ابزارهای امنیتی بسیار دشوار است.

قابلیت‌های پیشرفته EvilTokens

EvilTokens فقط یک ابزار اولیه نیست، بلکه یک پلتفرم کامل برای عملیات پس از نفوذ (Post-Compromise) محسوب می‌شود:

امکانات کلیدی:

  • ماژول‌های weaponization برای بهره‌برداری از دسترسی
  • جمع‌آوری ایمیل‌ها (Email Harvesting) و تحلیل صندوق ورودی
  • قابلیت‌های شناسایی هدف (reconnaissance)
  • رابط webmail داخلی برای مدیریت داده‌ها
  • خودکارسازی مبتنی بر هوش مصنوعی (AI-driven Automation)

مهاجمان برای موفقیت در سوءاستفاده از Device Code مایکروسافت، از سناریوهای فریب متقاعدکننده استفاده می‌کنند:

  • اعلان‌های جعلی SharePoint
  • درخواست‌های جعلی DocuSign
  • هشدارهای امنیتی حساب کاربری

هدف نهایی، وادار کردن کاربر به وارد کردن device code در صفحه رسمی مایکروسافت است.

پس از نفوذ چه اتفاقی می‌افتد؟

با اجرای موفق EvilTokens و سوءاستفاده از Device Code مایکروسافت:

  • مهاجم تا 60 دقیقه به داده‌ها دسترسی مستقیم دارد.
  • امکان استخراج ایمیل‌ها، اسناد و تاریخچه مکالمات وجود دارد.

سرویس‌های هدف:

  • Exchange Online برای استخراج ایمیل‌ها
  • SharePoint Online و OneDriveبرای دسترسی به اسناد و فایل‌ها
  • Microsoft Teamsبرای مشاهده تاریخچه مکالمات

حفظ دسترسی (Persistence):

  • توکن‌های اولیه امکان صدور توکن‌های جدید را فراهم می‌کنند.
  • دسترسی‌ها از طریق توکن‌های قابل تمدید تا 90 روز حفظ می‌شوند.
  • مهاجم می‌تواند کنترل پایدار و بلندمدت بر حساب قربانی داشته باشد.

زیرساخت و نحوه توزیع EvilTokens

کیت EvilTokens از طریق زیرساخت‌های زیر توزیع می‌شود:

  • کانال‌ها و بات‌های تلگرام
  • سیستم مدیریت کمپین خودکار
  • به‌روزرسانی مداوم کیت

کشورهای هدف شامل آمریکا، کانادا، فرانسه، هند، استرالیا، سوئیس و امارات است.

همچنین، محققان جزئیات زیرساخت حمله را برای ردیابی منتشر کردند:

  • الگوهای دامنه‌ها و URLهای فیشینگ
  • دامنه‌های وابسته میزبانی شده توسط مهاجمان
  • دامنه‌های مدیریت EvilTokens
  • قانون YARA برای شناسایی صفحات فیشینگ

جمع‌بندی

کمپین EvilTokens نشان‌دهنده تحول مهمی در فیشینگ است:

  • تمرکز حملات از سرقت مستقیم رمز عبور به EvilTokens و سوءاستفاده از Device Code مایکروسافت تغییر کرده است.
  • مهاجمان به جای جعل صفحات ورود، از مکانیزم‌های قانونی احراز هویت سوءاستفاده می‌کنند.
  • علاوه بر دسترسی اولیه، فعالیت‌های پس از نفوذ مانند جمع‌آوری ایمیل، اسناد و تاریخچه مکالمات نیز انجام می‌شود.

نکته کلیدی: حتی MFA به تنهایی در برابر حملات EvilTokens و سوءاستفاده از Device Code مایکروسافت کافی نیست.

منابع

https://www.csoonline.com/article/4153742/eviltokens-abuses-microsoft-device-code-flow-for-account-takeovers.html

همچنین ممکن است دوست داشته باشید

کارشناسان امنیتی درباره نسل بعدی Mythos و آینده...

بات‌نت C0XMO از طریق آسیب‌پذیری روترهای DD-WRT گسترش...

آسیب‌پذیری کرنل لینوکس با خطای تک‌کاراکتری امکان دسترسی...

زنجیره حمله در آسیب‌پذیری LiteLLM به اجرای کد...

AI tools becoming hot commodities on ransomware marketplaces

Anthropic پروژه Glasswing را با اضافه شدن 150...

اپلیکیشن‌های رایگان تلویزیون‌های هوشمند را به پروکسی خانگی...

قابلیت Lockdown Mode در چت‌جی‌پی‌تی برای کاهش ریسک...

سیستم اندازه‌گیری خودکار مخزن سوخت در آمریکا هدف...

مهاجمان با کمک هوش مصنوعی آزمایش دور زدن...

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.