Kali365: OAuth Device Code Phishing na Microsoft 365

Czym jest Kali365?

Kali365 to komercyjna platforma Phishing-as-a-Service (PhaaS) z panelem subskrybenta, wsparciem operacyjnym przez Telegram i wielodostępną infrastrukturą. Analiza Obrela przypisała ujawnione środowisko C2 do Kali365 na podstawie zbieżności paneli, nakładania się infrastruktury, odcisków operacyjnych oraz ujawnionego front-endowego kodu JavaScript powiązanego z funkcjonalnością subskrybenta. Zakres możliwości obejmuje pełny cykl kompromitacji tożsamości: dostarczenie phishingu, nadużycie OAuth Device Code, proxy AiTM, trwałość tokenów, interakcję ze skrzynką, lateralne rozszerzanie kampanii oraz nadużycia na poziomie tenanta, gdy skompromitowane konto ma role katalogowe.

Zagrożeniem nie jest jakość przynęty — to technika. Zamiast kradzieży danych logowania, Kali365 nadużywa legalnego przepływu OAuth 2.0 Device Authorization Grant firmy Microsoft. Ofiara uwierzytelnia się na rzeczywistych endpointach Microsoft i przechodzi MFA na prawdziwej infrastrukturze Microsoft; tym, co nieświadomie autoryzuje, jest kontrolowana przez atakującego sesja powiązana z jej tożsamością. Tokeny dostępu i odświeżania są eksfiltrowane do backendu Kali365 i odtwarzane wobec Microsoft Graph, Exchange Online i API Teams — żadne hasło nie opuszcza ofiary, a MFA jest poprawnie zrealizowane na warstwie sieciowej.

Jak działa atak — krok po kroku

Możliwości platformy

Analiza Obrela ujawnionego front-endowego JavaScript i żywej infrastruktury opisała dojrzałą, wielodostępną operację PhaaS. Obserwowane możliwości obejmują rotację infrastruktury, automatyczną generację przynęt, dwie prymitywy obejścia MFA, narzędzia post-compromise na skrzynkach oraz zintegrowany lateral movement — wszystko podłączone do jednego panelu subskrybenta:

• Panele subskrybenta — wielodostępne konsole zarządzania (zatytułowane po prostu "Panel") służące afiliantom do prowadzenia kampanii
• Generator przynęt wspierany AI — operator definiuje markę celu, scenariusz dostarczenia i temat socjotechniczny, aby dynamicznie generować ładunki phishingowe
• Biblioteka szablonów — gotowe motywy usług chmurowych (SharePoint, OneDrive, Voicemail) i custom HTML, z imitacją marek takich jak Dropbox i DocuSign
• Dwa tryby przechwytywania — nadużycie OAuth Device Code oraz proxy Adversary-in-the-Middle (AiTM) do przechwytywania ciasteczek sesji
• Rotacja Cloudflare Workers — dynamicznie generowane URL-e *.workers.dev oraz zintegrowany marketplace do szybkiego provisioningu DNS/SSL
• Alerty Telegram — natychmiastowe powiadomienia o eksfiltracji oraz automatyczny monitoring słów kluczowych w przechwyconej poczcie ("invoice", "wire", "payment", "password reset")
• Moduł B2B Sender — masowa dystrybucja spear-phishingu bezpośrednio z przejętych kont, z wgrywanymi listami odbiorców i wybranymi profilami nadawczymi
• Moduł Admin Control — enumeracja użytkowników katalogu, przepływy resetu hasła i nadużycia na poziomie tenanta, gdy skompromitowane konto ma role administracyjne

Model komercyjny jest tutaj prawdziwym ryzykiem. Sama technika phishingu Device Code była dokumentowana przez obrońców od lat; Kali365 pakuje ją — wraz z AiTM, trwałością tokenów i wykorzystaniem przejętych kont do ataków — w gotowy produkt subskrypcyjny. Telemetria infrastruktury obserwowana przez Obrela wskazuje na aktywne skalowanie operacyjne i szybkie udostępnianie zasobów, przy czym większość zidentyfikowanych węzłów pozostawała w czasie dochodzenia niewykryta przez publiczne źródła Threat Intelligence.

Wskaźniki kompromitacji (IOC)

IOC poniżej pochodzą z Obrela Security Advisory z 20 maja 2026 — zarówno z potwierdzonej kompromitacji Microsoft 365, która zainicjowała śledztwo, jak i z inwentarza infrastruktury w Appendix A. Defanged dla bezpiecznego transportu. Załaduj do SIEM, NGFW, secure web gateway, DNS, EDR i detekcji sign-in Entra ID.

Telemetria potwierdzonego incydentu

• Źródłowy IP złośliwego uwierzytelnienia: 43.131.5.194
• Obserwowany URL przynęty phishingowej: hxxps://hsyl4nksdn.increaseengagementnow[.]de/l/FT2acw6gI3A
• Obserwacja: 18 maja 2026 — nadużycie Microsoft 365 OAuth Device Authorization Grant

Infrastruktura mock / demo paneli Kali365

• 18.117.247.159 — eksponowany mock panel subskrybenta
• 130.12.115.206 — eksponowany mock panel subskrybenta
• plueuuririirjririwoowowlwsjdjeineidixiidneeiej[.]cc — domena mock panelu

Węzły infrastruktury Kali365 (AS132203 — TENCENT-NET-AP-CN)

Appendix A advisory Obrela wymienia 76 adresów IPv4 wykazujących nakładające się cechy operacyjne Kali365 — hosty Linux, eksponowany Nginx, SSH na porcie 22 oraz panel o tytule po prostu "Panel". Zdecydowana większość jest hostowana w AS132203 (TENCENT-NET-AP-CN). Blokuj je na perymetrze i wyszukuj w logach DNS, proxy, EDR i Entra ID sign-in:

• 43.153.87.19 · 43.153.100.17 · 49.51.141.209 · 43.157.51.193
• 43.131.30.4 · 43.157.65.163 · 170.106.141.49 · 43.130.33.215
• 43.173.72.71 · 43.173.77.176 · 43.157.84.24 · 43.157.88.63
• 69.67.173.165 · 43.153.72.91 · 43.131.60.226 · 43.173.71.182
• 162.62.233.174 · 43.157.82.209 · 43.173.70.68 · 43.153.33.118
• 43.173.72.177 · 43.173.104.183 · 43.173.72.138 · 43.173.73.224
• 43.153.59.231 · 162.62.121.57 · 170.106.176.195 · 43.153.18.172
• 43.173.74.57 · 170.106.116.24 · 43.159.171.69 · 43.131.60.143
• 43.173.105.72 · 43.157.80.139 · 43.173.78.142 · 43.157.62.86
• 43.131.56.141 · 43.173.72.86 · 43.157.71.214 · 170.106.186.18
• 43.131.44.102 · 43.131.57.11 · 43.157.60.162 · 34.87.147.59
• 43.153.12.20 · 43.130.9.20 · 162.62.55.210 · 43.165.1.42
• 43.131.0.54 · 43.173.68.218 · 43.130.102.216 · 43.153.67.95
• 162.62.232.182 · 43.173.74.70 · 43.166.211.243 · 43.157.64.101
• 49.51.203.63 · 43.157.16.226 · 43.157.12.44 · 43.131.40.210
• 162.62.230.6 · 43.157.72.99 · 43.173.76.163 · 43.173.74.48
• 43.173.76.64 · 43.131.45.240 · 43.131.3.58 · 43.131.5.194
• 49.51.202.230 · 43.166.139.181 · 43.131.52.235 · 35.197.144.204
• 43.157.108.91 · 43.131.9.204 · 49.51.166.31 · 199.91.220.111

Profil celów

Kali365 jest niezależny od branży — każdy tenant Microsoft 365 to potencjalny cel. Ekonomia PhaaS nagradza afiliantów za skrzynki wysokiej wartości, więc środowiska regulowane, wartościowe i finansowo wrażliwe koncentrują realne ryzyko. Spodziewaj się kampanii grawitujących ku tym samym celom, które napędzają BEC i przygotowywanie ataków ransomware:

• Usługi finansowe — oszustwa przelewowe, przejścia do ataków BEC, kompromitacja klientów przez zaufaną komunikację wewnętrzną
• Produkcja — środowiska graniczące z OT, gdzie kradzież tokenu staje się punktem zaczepienia do kompromitacji łańcucha dostaw
• Ochrona zdrowia — dane pacjentów, dostęp do EHR i presja czasowa reakcji na incydent, która karze opóźnioną detekcję
• Administracja publiczna — wrażliwe politycznie skrzynki i poczta podlegająca ujawnieniu publicznemu / FOIA
• Usługi profesjonalne i konsulting — uprzywilejowany dostęp do wielu tenantów klientów z jednej kompromitacji
• Edukacja — IP badawcze, federacyjna tożsamość i duże, słabo monitorowane populacje użytkowników

Kontrole defensywne

Ponieważ uwierzytelnianie kończy się na infrastrukturze Microsoft z pełnym MFA, perymetralne kontrole e-mail, rotacja haseł i push-based MFA nie zatrzymają tego ataku. Skuteczna obrona jest tożsamościowa: zabij przepływ Device Code tam, gdzie nie jest operacyjnie wymagany, przenieś uprzywilejowanych użytkowników na phishing-resistant MFA, skróć czas życia tokenów i obserwuj zachowanie post-compromise. Obrela, FBI i Arctic Wolf zbiegają się na tym samym zestawie kontroli:

• Zablokuj Device Authorization Grant w Conditional Access — Wszyscy użytkownicy → Wszystkie aplikacje chmurowe → Warunki → Authentication flows → Device code flow → Block. Wyłącz tylko konkretne service principal i platformy urządzeń, które naprawdę go wymagają (smart TV, sprzęt sal konferencyjnych, legacy IoT)
• Przenieś uprzywilejowane tożsamości na phishing-resistant MFA — klucze FIDO2, Windows Hello for Business lub uwierzytelnianie certyfikatowe. Czynniki push i OTP można obejść w obu trybach (Device Code i AiTM) używanych przez Kali365
• Włącz polityki sign-in risk i user risk w Entra ID Protection — flagują anomalne kombinacje aplikacji klienckich, IP i ASN charakterystyczne dla powtarzania tokenów z infrastruktury niskiej reputacji, takiej jak AS132203
• Skróć czas życia refresh tokenu i wymuś continuous access evaluation (CAE) — ogranicza okno operacyjne skradzionego refresh tokenu
• Alertuj na tworzenie reguł skrzynki i zmiany mailbox forwarding — afilianci Kali365 rutynowo wyciszają powiadomienia bezpieczeństwa i eksfiltrują przez forwarding
• Monitoruj rejestracje nowych urządzeń i zmiany metod MFA w logach audytowych Entra ID — atakujący rejestruje własne zaufane urządzenie, aby przeżyć oryginalny token
• Wyszukuj IOC z tego raportu — blokuj wymienione węzły AS132203 i infrastrukturę mock paneli w NGFW, DNS, secure web gateway i EDR; dodaj high-fidelity alerty na potwierdzony źródłowy IP i URL przynęty
• Uruchom symulacje phishingu obejmujące przynętę device code — większość programów świadomościowych pokrywa strony zbierające credentiale, ale nie legalne prompty Microsoft napędzane kodami dostarczonymi przez atakującego
• Zaktualizuj IR runbook o przepływ OAuth — przy podejrzeniu kompromitacji unieważnij sesje, tokeny odświeżania i zarejestrowane urządzenia w Entra ID dla danej tożsamości; sam reset hasła pozostawia atakującego w miejscu

Kluczowy wniosek

Kali365 nie jest nowym exploitem — to skomercjalizowanie udokumentowanej słabości przepływu OAuth Device Authorization Grant. Telemetria Obrela, ostrzeżenie FBI i badania Arctic Wolf wskazują na tę samą operacyjną rzeczywistość: tożsamość jest perymetrem, a perymetr ma znane obejście wymagające ani malware, ani zero-daya, ani danych logowania. Najskuteczniejsza kontrola — blokada device-code flow w Conditional Access — jest praktycznie bezpłatna i ma zerowy wpływ na użytkowników w zdecydowanej większości tenantów. Do zrobienia pozostaje konfiguracja, nie technologia.

Kali365 nie łamie Microsoft 365 — wykorzystuje jako broń funkcję, o której większość tenantów zapomniała, że jest włączona. Dopóki Device Authorization Grant nie zostanie wprost zablokowany w Conditional Access, skrzynka chroniona MFA jest oddalona o jeden kod wpisany przez użytkownika od pełnej kompromitacji tokenu.

Źródła

Niniejszy raport łączy ustalenia z trzech niezależnych źródeł. Zweryfikuj je krzyżowo przed strojeniem detekcji lub budowaniem reguł wyszukiwania zagrożeń:

• Obrela Security Advisory — Kali365 Infrastructure: Abusing OAuth Device Code Phishing (20 maja 2026) — podstawowe źródło inwentarza IOC i analizy możliwości platformy opublikowanej w tym raporcie
• FBI IC3 Public Service Announcement — Kali365 Phishing-as-a-Service Kit Hijacks Microsoft 365 Access Tokens — https://www.ic3.gov/PSA/2026/PSA260521
• Arctic Wolf Labs — Token Bingo: Don't Let Your Code be the Winner — https://arcticwolf.com/resources/blog/token-bingo-dont-let-your-code-be-the-winner/