Microsoft OAuth App Impersonation campagne leidt tot MFA phishing

Proofpoint heeft een cluster van activiteiten geïdentificeerd die Microsoft OAuth-applicaties aanmaken en omleidingen creëren die leiden tot kwaadaardige URL's die credential phishing mogelijk maken. De activiteit werd begin 2025 voor het eerst waargenomen en is nog steeds aan de gang.

Het doel van de campagnes is om OAuth-applicaties te gebruiken als een toegangspoort om andere activiteiten uit te voeren, voornamelijk om toegang te verkrijgen tot Microsoft 365-accounts via MFA-phishing. De phishingcampagnes maken gebruik van multifactorauthenticatie (MFA) attacker-in-the-middle (AiTM) phishingkits, voornamelijk Tycoon. Dergelijke activiteiten kunnen worden gebruikt voor informatieverzameling, het installeren van malware of het uitvoeren van aanvullende phishingcampagnes vanuit gecompromitteerde accounts.

Proofpoint heeft deze techniek waargenomen in e-mailcampagnes met meer dan 50 geïmiteerde applicaties en meerdere verschillende phishingkits die deze aanvalsketen gebruiken, waaronder Tycoon en ODx. Het bedrijf heeft de waargenomen apps aan Microsoft gerapporteerd.

Opmerkelijk is dat Microsoft in juni 2025 aankondigde dat het de standaardinstellingen in Microsoft 365 bijwerkt door "verouderde authenticatieprotocollen te blokkeren en beheerdersgoedkeuring te vereisen voor toegang tot apps van derden. Wijzigingen beginnen medio juli 2025 en zijn voltooid in augustus 2025." Deze update zal een positieve impact hebben op het algehele landschap en zal bedreigingsactoren die deze techniek gebruiken, belemmeren.

Kortom, bedreigingsactoren creëren steeds innovatievere aanvalsketens om detecties te omzeilen en wereldwijd toegang te verkrijgen tot organisaties. Onderzoekers verwachten dat bedreigingsactoren steeds vaker de identiteit van gebruikers zullen aanvallen, waarbij AiTM-credential phishing de criminele industriestandaard wordt.

Hieronder staan manieren om een organisatie te helpen zich te verdedigen tegen geavanceerde hybride (e-mail en cloud) bedreigingen:

• E-mailbeveiliging: Blokkeer en monitor kwaadaardige e-mailbedreigingen die gebruikers aanvallen. Effectieve BEC-preventieoplossingen kunnen de praktische aanvalsoppervlakken aanzienlijk minimaliseren.
• Cloudbeveiliging:  Identificeer accountovername (ATO) en ongeautoriseerde toegang tot gevoelige bronnen binnen een cloudomgeving. Deze oplossingen moeten nauwkeurige en tijdige detectie bieden van zowel de initiële accountcompromittering als activiteiten na de compromittering, inclusief inzicht in misbruikte services en applicaties. Pas automatische herstelmogelijkheden toe om de verblijftijd van aanvallers en potentiële schade te verminderen.
• Webbeveiliging: Isoleer potentieel kwaadaardige sessies die zijn gestart door links die zijn ingesloten in e-mailberichten.
• Beveiligingsbewustzijn: Train gebruikers om zich bewust te zijn van deze risico's bij het gebruik van Microsoft 365.
• FIDO: Overweeg het gebruik van FIDO-gebaseerde fysieke beveiligingssleutels (https://fidoalliance.org/how-fido-works).

Klik hier voor het volledige rapport.